暂无图片
暂无图片
暂无图片
暂无图片
暂无图片

华为GaussDB T 详细说明

墨天轮 2019-09-28
1035

详细说明

_ENCRYPTION_ALG

参数描述:指定用户密码的加密算法。目前用户密码的加密算法只支持SCRAM_SHA256。升级时兼容原有版本的PBKDF2算法。

取值范围:字符串

默认值:SCRAM_SHA256

_SYS_PASSWORD

参数描述:单机数据库SYS用户的预置密码。

该密码经不可逆加密算法加密后,存储在安装部署脚本中,不建议在线修改。修改此参数值之后,只在NOMOUNT状态下作为SYS的临时密码。

设置方法:

运行安装脚本install.py安装数据库时,使用-C指定参数_SYS_PASSWORD的值,格式为“-C _SYS_PASSWORD=new_password”。

取值范围:字符串。

默认值:thuMmQYA0AcykVYBVtuBJRxecJ3in8XVsZb2sHORAgOqnCrPOTvm7VYtv3RoPbWMKRduMKrHZ3dlCVih0o0at1KvH7t8VZHLGpa+n1kJlTP6iLrYGRNBXA==

AUDIT_LEVEL

参数描述:设置审计级别。

取值范围:整型。[0,255]

表1列出了审计内容及对应的打开标志,如果需要审计对应内容,可将AUDIT_LEVEL赋值为相应的标识之和。例如,如果需要同时审计DDL、DCL、DML操作,则设置AUDIT_LEVEL的值为7。

表1 各审计日志类型对应的AUDIT_LEVEL取值

类型

AUDIT_LEVEL取值(十进制)

DDL

1

DCL

2

DML

4

PL

8

ALL

255

  • 当AUDIT_LEVEL > 0 时,除了审计对应操作之外,还会审计login、logout、cancel、free stmt等请求。
  • 当AUDIT_LEVEL = 0 时,关闭审计日志。

功能语法的审计日志对应的AUDIT_LEVEL取值为:

  • EXP、IMP、LOAD、DUMP功能语法由多种SQL组合而成,只有将AUDIT_LEVEL设置为包括该SQL类型的级别后,才会记录。
  • 其他功能语法的审计日志,需要将AUDIT_LEVEL设置为包含DCL的级别,才会记录。

默认值:3

_AUDIT_MAX_FILE_SIZE

参数描述:单个审计日志文件大小。

如果单个审计日志文件大小到达该参数值,则会将该日志文件备份(如果日志文件名zengine.aud,则备份日志名为zengine_yyyymmddhhmissfff.aud)。

备注:参数动态生效范围不含已生成的审计日志文件。

取值范围:整数,[1M, 4G],单位为字节。

默认值:10M。

_AUDIT_BACKUP_FILE_COUNT

参数描述:备份审计日志文件的最大个数。

如果备份审计日志文件个数到达该参数值,则会将最早备份的审计日志文件删除,保持审计日志的备份文件个数为该参数值。

取值范围:整数,[0,128]。

默认值:10

ENABLE_SYSDBA_LOGIN

参数描述:设置是否支持免密登录。不设置该参数时,默认支持免密登录。

本地免密登录CN的命令为“zsql / as clsmgr -D cn_data_dir”,本地免密登录DN的命令为“zsql / as SYSDBA -D dn_data_dir”。需要注意免密登录仅能在本地执行,若关闭免密登录功能,CM/OM将不可用,建议不关闭。

此参数是安装时指定是否开启免密登录,数据库使用过程中不建议在线修改。如确实需要在线修改,请使用python zctl.py -t kill方式停止数据库。

取值范围:

  • TRUE:支持免密登录。
  • FALSE:不支持免密登录。

默认值:TRUE

LOCAL_KEY

参数描述:工作密钥,用于加密SSL私钥密码和本地免密登录的密码数据,对本地保存的敏感数据提供机密性、完整性保护。

该工作密钥可通过命令“zencrypt -g”生成。使用命令“zencrypt -g”会同时生成工作密钥(参数LOCAL_KEY的值)和根密钥因子(_FACTOR_KEY),二者必须成对使用。

取值范围:128位(16字节)随机数经过密钥因子加密后的密文(88字节)。

默认值:UTiYlBoTC71MvTyBvWhVDodc0VAop1GMe135ZCov8Pv4xsnlEHn9Bs/pjRo7ZNM1BXq8Z4XuyRjfaNpY/7McEQ==

_FACTOR_KEY

参数描述:根密钥因子,位于密钥管理的最底层,用于对上层密钥(工作密钥)的机密性进行保护。

根密钥因子可通过命令“zencrypt -g”生成。使用命令“zencrypt -g”会同时生成工作密钥(参数LOCAL_KEY的值)和根密钥因子(_FACTOR_KEY),二者必须成对使用。

取值范围:128位(16字节)随机数的BASE64编码值(24字节)

默认值:dc4hoQWGQs7/Uv3AiherFw==

TCP_VALID_NODE_CHECKING

参数描述:开启IP白名单检测功能,服务端可根据白名单和黑名单配置管控客户端访问。

开启IP白名单检测功能前,要求至少配置了TCP_INVITED_NODES或TCP_EXCLUDED_NODES中的一种,否则将报如下错误:

GS-00254 : For invited and excluded nodes is both empty, ip whitelist function can't be enabled

设置方法:

omm用户身份登录GaussDB 100服务器后,使用如下命令在Online状态下开启IP白名单检测功能。
gs_gucZenith -c "TCP_VALID_NODE_CHECKING=true"

取值范围:

  • TRUE:开启IP白名单检测功能。
  • FALSE:关闭IP白名单检测功能。

默认值:FALSE

TCP_INVITED_NODES

参数描述:配置IP白名单。

开启IP白名单检测功能并配置IP白名单后,只允许白名单客户端访问数据库。IP白名单支持IPV4、IPV6地址、或指定子网掩码长度表示一个子网网段,可通过逗号声明多个地址/网段。

当IP白名单检测功能开启时,白名单和黑名单不能修改为都空,否则将报如下错误:

GS-00255:Ip whitelist function is enabled, invited and excluded nodes can't set to both empty

设置方法:

登录数据库后,使用gs_gucZenith在线配置IP白名单。使用gs_gucZenith工具设置实例参数时,该实例状态必须是Online。
gs_gucZenith -c "TCP_INVITED_NODES=(127.0.0.1,10.13.59.12,10.253.11.23)" -I cn_402,cn_401

取值范围:NA

默认值NA

TCP_EXCLUDED_NODES

参数描述:配置IP黑名单。

开启IP白名单检测功能并配置IP黑名单,禁止黑名单客户端访问数据库。IP黑名单支持IPV4、IPV6地址、或指定子网掩码长度表示一个子网网段,可通过逗号声明多个地址/网段。

当IP白名单检测功能开启时,白名单和黑名单不能修改为都空,否则将报如下错误:

GS-00255:Ip whitelist function is enabled, invited and excluded nodes can't set to both empty

设置方法:

登录数据库后,使用gs_gucZenith在线配置IP黑名单。使用gs_gucZenith工具设置实例参数时,该实例状态必须是Online。
gs_gucZenith -c "TCP_EXCLUDED_NODES=(10.190.168.112, 10.134.175.142/32,20ab::9217:acff:feab:fcd0/64)" -I cn_402,cn_401

取值范围:NA

默认值:NA

UNAUTH_SESSION_EXPIRE_TIME

参数描述:设置连接鉴权时间。

如果一个连接在设置的鉴权时间内不进行鉴权,服务端将强制断开该连接,释放其占用的会话资源,避免恶意TCP链接导致的连接会话耗尽。该设置可有效防止DOS攻击,支持立即生效。

取值范围:整数,[0,2^32-1],单位是秒。

默认值:60

SSL_VERIFY_PEER

参数描述:是否校验客户端证书。

取值范围:

TRUE:校验客户端证书。创建SSL连接时,客户端必须提供有效的证书。

FALSE:不校验客户端证书。创建SSL连接时,允许客户端不提供证书。

默认值:FALSE

SSL_CERT

参数描述:指定服务器证书文件路径。

服务器证书用以表明服务器身份的合法性。证书文件的内容包含了服务器端的公钥,公钥会被发送给对端用来对数据进行加密。

取值范围:字符串,建议设置为设备证书的绝对路径,否则可能导致证书加载失败。

默认值:NA,表示没有服务器证书。

SSL_KEY

参数描述:指定服务器私钥文件路径。

私钥用来对使用公钥加密生成的密文进行解密。

取值范围:字符串,建议设置为私钥文件的绝对路径,否则可能导致私钥加载失败。

默认值:NA,表示没有服务器私钥。

SSL_CA

参数描述:指定CA服务器的根证书路径。

此参数只在SSL_VERIFY_PEER开启时有效。

取值范围:字符串,建议设置为CA服务器的根证书的绝对路径,否则可能导致证书加载失败。

默认值:NA,表示没有CA服务器根证书。

SSL_CRL

参数描述:指定证书吊销列表,如果客户端证书在该列表中,则该客户端证书被视为无效证书。

取值范围:字符串,建议设置为吊销证书的绝对路径,否则可能导致证书加载失败。

默认值:NA,表示没有吊销列表。

SSL_CIPHER

参数描述:指定SSL通讯使用的加密算法。

取值范围:

表2 加密算法

加密强度

安全程度

加密算法描述

说明

stronger

high

DHE-RSA-AES256-GCM-SHA384

适用于RSA加密算法生成的证书

stronger

high

DHE-RSA-AES128-GCM-SHA256

stronger

high

ECDHE-ECDSA-AES256-GCM-SHA384

适用于ECDSA加密算法生成证书

stronger

high

ECDHE-ECDSA-AES128-GCM-SHA256

stronger

high

ECDHE-RSA-AES256-GCM-SHA384

适用于RSA加密算法生成的证书

stronger

high

ECDHE-RSA-AES128-GCM-SHA256

stronger

high

DHE-DSS-AES256-GCM-SHA384

适用于DSA加密算法生成的证书

stronger

high

DHE-DSS-AES128-GCM-SHA256

stronger

medium

DHE-RSA-AES256-SHA256

适用于RSA加密算法生成的证书

stronger

medium

DHE-RSA-AES128-SHA256

stronger

medium

DHE-DSS-AES256-SHA256

适用于DSA加密算法生成的证书

stronger

medium

DHE-DSS-AES128-SHA256

stronger

high

DHE-RSA-AES256-CCM

适用于RSA加密算法生成的证书

stronger

high

DHE-RSA-AES128-CCM

默认值:NA,表示允许对端使用GaussDB 100支持的所有加密算法。

SSL_KEY_PASSWORD

参数描述:指定服务器私钥密码的密文。当私钥加密存储时,通过该参数设置密码的密文。

取值范围:字符串

默认值:NA,表示私钥文件没有加密。

SSL_EXPIRE_ALERT_THRESHOLD

参数描述:SSL证书过期告警阈值,若启用SSL,在过期时间小于此阈值的时候会有日志提醒。数据库启动后会按照SSL_PERIOD_DETECTION周期性检查SSL证书过期情况。

取值范围:整数,[7,180],单位是天

默认值:30

SSL_PERIOD_DETECTION

参数描述:SSL过期检测周期,若启动SSL,在实例启动后,会以该周期为单位检测证书过期时间,若距离过期时间小于SSL_EXPIRE_ALERT_THRESHOLD,则上报日志提醒。

取值范围: 不可配置 ,单位是天

默认值:7

HAVE_SSL

参数描述:只读参数,用于显示当前数据库实例是否支持建立SSL连接。

取值范围

TRUE:表示当前数据库实例支持创建SSL连接。

FALSE:表示当前数据库实例不支持创建SSL连接。

默认值:FALSE,数据库启动时会检测SSL状态并自动更新该参数,不支持用户手动配置。

_ENCRYPTION_ITERATION

参数描述:指定加密算法的循环次数。

取值范围:整数,[1000,50000]。

默认值:2000

「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」
关注作者
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论