详细说明
_ENCRYPTION_ALG
参数描述:指定用户密码的加密算法。目前用户密码的加密算法只支持SCRAM_SHA256。升级时兼容原有版本的PBKDF2算法。
取值范围:字符串
默认值:SCRAM_SHA256
_SYS_PASSWORD
参数描述:单机数据库SYS用户的预置密码。
该密码经不可逆加密算法加密后,存储在安装部署脚本中,不建议在线修改。修改此参数值之后,只在NOMOUNT状态下作为SYS的临时密码。
设置方法:
运行安装脚本install.py安装数据库时,使用-C指定参数_SYS_PASSWORD的值,格式为“-C _SYS_PASSWORD=new_password”。
取值范围:字符串。
默认值:thuMmQYA0AcykVYBVtuBJRxecJ3in8XVsZb2sHORAgOqnCrPOTvm7VYtv3RoPbWMKRduMKrHZ3dlCVih0o0at1KvH7t8VZHLGpa+n1kJlTP6iLrYGRNBXA==
AUDIT_LEVEL
参数描述:设置审计级别。
取值范围:整型。[0,255]
表1列出了审计内容及对应的打开标志,如果需要审计对应内容,可将AUDIT_LEVEL赋值为相应的标识之和。例如,如果需要同时审计DDL、DCL、DML操作,则设置AUDIT_LEVEL的值为7。
类型 |
AUDIT_LEVEL取值(十进制) |
---|---|
DDL |
1 |
DCL |
2 |
DML |
4 |
PL |
8 |
ALL |
255 |
- 当AUDIT_LEVEL > 0 时,除了审计对应操作之外,还会审计login、logout、cancel、free stmt等请求。
- 当AUDIT_LEVEL = 0 时,关闭审计日志。
功能语法的审计日志对应的AUDIT_LEVEL取值为:
- EXP、IMP、LOAD、DUMP功能语法由多种SQL组合而成,只有将AUDIT_LEVEL设置为包括该SQL类型的级别后,才会记录。
- 其他功能语法的审计日志,需要将AUDIT_LEVEL设置为包含DCL的级别,才会记录。
默认值:3
_AUDIT_MAX_FILE_SIZE
参数描述:单个审计日志文件大小。
如果单个审计日志文件大小到达该参数值,则会将该日志文件备份(如果日志文件名zengine.aud,则备份日志名为zengine_yyyymmddhhmissfff.aud)。
备注:参数动态生效范围不含已生成的审计日志文件。
取值范围:整数,[1M, 4G],单位为字节。
默认值:10M。
_AUDIT_BACKUP_FILE_COUNT
参数描述:备份审计日志文件的最大个数。
如果备份审计日志文件个数到达该参数值,则会将最早备份的审计日志文件删除,保持审计日志的备份文件个数为该参数值。
取值范围:整数,[0,128]。
默认值:10
ENABLE_SYSDBA_LOGIN
参数描述:设置是否支持免密登录。不设置该参数时,默认支持免密登录。
本地免密登录CN的命令为“zsql / as clsmgr -D cn_data_dir”,本地免密登录DN的命令为“zsql / as SYSDBA -D dn_data_dir”。需要注意免密登录仅能在本地执行,若关闭免密登录功能,CM/OM将不可用,建议不关闭。
此参数是安装时指定是否开启免密登录,数据库使用过程中不建议在线修改。如确实需要在线修改,请使用python zctl.py -t kill方式停止数据库。
取值范围:
- TRUE:支持免密登录。
- FALSE:不支持免密登录。
默认值:TRUE
LOCAL_KEY
参数描述:工作密钥,用于加密SSL私钥密码和本地免密登录的密码数据,对本地保存的敏感数据提供机密性、完整性保护。
该工作密钥可通过命令“zencrypt -g”生成。使用命令“zencrypt -g”会同时生成工作密钥(参数LOCAL_KEY的值)和根密钥因子(_FACTOR_KEY),二者必须成对使用。
取值范围:128位(16字节)随机数经过密钥因子加密后的密文(88字节)。
默认值:UTiYlBoTC71MvTyBvWhVDodc0VAop1GMe135ZCov8Pv4xsnlEHn9Bs/pjRo7ZNM1BXq8Z4XuyRjfaNpY/7McEQ==
_FACTOR_KEY
参数描述:根密钥因子,位于密钥管理的最底层,用于对上层密钥(工作密钥)的机密性进行保护。
根密钥因子可通过命令“zencrypt -g”生成。使用命令“zencrypt -g”会同时生成工作密钥(参数LOCAL_KEY的值)和根密钥因子(_FACTOR_KEY),二者必须成对使用。
取值范围:128位(16字节)随机数的BASE64编码值(24字节)
默认值:dc4hoQWGQs7/Uv3AiherFw==
TCP_VALID_NODE_CHECKING
参数描述:开启IP白名单检测功能,服务端可根据白名单和黑名单配置管控客户端访问。
开启IP白名单检测功能前,要求至少配置了TCP_INVITED_NODES或TCP_EXCLUDED_NODES中的一种,否则将报如下错误:
GS-00254 : For invited and excluded nodes is both empty, ip whitelist function can't be enabled
设置方法:
gs_gucZenith -c "TCP_VALID_NODE_CHECKING=true"
取值范围:
- TRUE:开启IP白名单检测功能。
- FALSE:关闭IP白名单检测功能。
默认值:FALSE
TCP_INVITED_NODES
参数描述:配置IP白名单。
开启IP白名单检测功能并配置IP白名单后,只允许白名单客户端访问数据库。IP白名单支持IPV4、IPV6地址、或指定子网掩码长度表示一个子网网段,可通过逗号声明多个地址/网段。
当IP白名单检测功能开启时,白名单和黑名单不能修改为都空,否则将报如下错误:
GS-00255:Ip whitelist function is enabled, invited and excluded nodes can't set to both empty
设置方法:
gs_gucZenith -c "TCP_INVITED_NODES=(127.0.0.1,10.13.59.12,10.253.11.23)" -I cn_402,cn_401
取值范围:NA
默认值:NA
TCP_EXCLUDED_NODES
参数描述:配置IP黑名单。
开启IP白名单检测功能并配置IP黑名单,禁止黑名单客户端访问数据库。IP黑名单支持IPV4、IPV6地址、或指定子网掩码长度表示一个子网网段,可通过逗号声明多个地址/网段。
当IP白名单检测功能开启时,白名单和黑名单不能修改为都空,否则将报如下错误:
GS-00255:Ip whitelist function is enabled, invited and excluded nodes can't set to both empty
设置方法:
gs_gucZenith -c "TCP_EXCLUDED_NODES=(10.190.168.112, 10.134.175.142/32,20ab::9217:acff:feab:fcd0/64)" -I cn_402,cn_401
取值范围:NA
默认值:NA
UNAUTH_SESSION_EXPIRE_TIME
参数描述:设置连接鉴权时间。
如果一个连接在设置的鉴权时间内不进行鉴权,服务端将强制断开该连接,释放其占用的会话资源,避免恶意TCP链接导致的连接会话耗尽。该设置可有效防止DOS攻击,支持立即生效。
取值范围:整数,[0,2^32-1],单位是秒。
默认值:60
SSL_VERIFY_PEER
参数描述:是否校验客户端证书。
取值范围:
TRUE:校验客户端证书。创建SSL连接时,客户端必须提供有效的证书。
FALSE:不校验客户端证书。创建SSL连接时,允许客户端不提供证书。
默认值:FALSE
SSL_CERT
参数描述:指定服务器证书文件路径。
服务器证书用以表明服务器身份的合法性。证书文件的内容包含了服务器端的公钥,公钥会被发送给对端用来对数据进行加密。
取值范围:字符串,建议设置为设备证书的绝对路径,否则可能导致证书加载失败。
默认值:NA,表示没有服务器证书。
SSL_KEY
参数描述:指定服务器私钥文件路径。
私钥用来对使用公钥加密生成的密文进行解密。
取值范围:字符串,建议设置为私钥文件的绝对路径,否则可能导致私钥加载失败。
默认值:NA,表示没有服务器私钥。
SSL_CA
参数描述:指定CA服务器的根证书路径。
此参数只在SSL_VERIFY_PEER开启时有效。
取值范围:字符串,建议设置为CA服务器的根证书的绝对路径,否则可能导致证书加载失败。
默认值:NA,表示没有CA服务器根证书。
SSL_CRL
参数描述:指定证书吊销列表,如果客户端证书在该列表中,则该客户端证书被视为无效证书。
取值范围:字符串,建议设置为吊销证书的绝对路径,否则可能导致证书加载失败。
默认值:NA,表示没有吊销列表。
SSL_CIPHER
参数描述:指定SSL通讯使用的加密算法。
取值范围:
加密强度 |
安全程度 |
加密算法描述 |
说明 |
---|---|---|---|
stronger |
high |
DHE-RSA-AES256-GCM-SHA384 |
适用于RSA加密算法生成的证书 |
stronger |
high |
DHE-RSA-AES128-GCM-SHA256 |
|
stronger |
high |
ECDHE-ECDSA-AES256-GCM-SHA384 |
适用于ECDSA加密算法生成证书 |
stronger |
high |
ECDHE-ECDSA-AES128-GCM-SHA256 |
|
stronger |
high |
ECDHE-RSA-AES256-GCM-SHA384 |
适用于RSA加密算法生成的证书 |
stronger |
high |
ECDHE-RSA-AES128-GCM-SHA256 |
|
stronger |
high |
DHE-DSS-AES256-GCM-SHA384 |
适用于DSA加密算法生成的证书 |
stronger |
high |
DHE-DSS-AES128-GCM-SHA256 |
|
stronger |
medium |
DHE-RSA-AES256-SHA256 |
适用于RSA加密算法生成的证书 |
stronger |
medium |
DHE-RSA-AES128-SHA256 |
|
stronger |
medium |
DHE-DSS-AES256-SHA256 |
适用于DSA加密算法生成的证书 |
stronger |
medium |
DHE-DSS-AES128-SHA256 |
|
stronger |
high |
DHE-RSA-AES256-CCM |
适用于RSA加密算法生成的证书 |
stronger |
high |
DHE-RSA-AES128-CCM |
默认值:NA,表示允许对端使用GaussDB 100支持的所有加密算法。
SSL_KEY_PASSWORD
参数描述:指定服务器私钥密码的密文。当私钥加密存储时,通过该参数设置密码的密文。
取值范围:字符串
默认值:NA,表示私钥文件没有加密。
SSL_EXPIRE_ALERT_THRESHOLD
参数描述:SSL证书过期告警阈值,若启用SSL,在过期时间小于此阈值的时候会有日志提醒。数据库启动后会按照SSL_PERIOD_DETECTION周期性检查SSL证书过期情况。
取值范围:整数,[7,180],单位是天
默认值:30
SSL_PERIOD_DETECTION
参数描述:SSL过期检测周期,若启动SSL,在实例启动后,会以该周期为单位检测证书过期时间,若距离过期时间小于SSL_EXPIRE_ALERT_THRESHOLD,则上报日志提醒。
取值范围: 不可配置 ,单位是天
默认值:7
HAVE_SSL
参数描述:只读参数,用于显示当前数据库实例是否支持建立SSL连接。
取值范围:
TRUE:表示当前数据库实例支持创建SSL连接。
FALSE:表示当前数据库实例不支持创建SSL连接。
默认值:FALSE,数据库启动时会检测SSL状态并自动更新该参数,不支持用户手动配置。
_ENCRYPTION_ITERATION
参数描述:指定加密算法的循环次数。
取值范围:整数,[1000,50000]。
默认值:2000