openGauss学习笔记-116 openGauss 数据库管理-设置数据库审计-审计概述
文章目录
- openGauss学习笔记-116 openGauss 数据库管理-设置数据库审计-审计概述
- 116.1 背景信息
- 116.2 操作步骤
openGauss学习笔记-116 openGauss 数据库管理-设置数据库审计-审计概述
116.1 背景信息
数据库安全对数据库系统来说至关重要。openGauss将用户对数据库的所有操作写入审计日志。数据库安全管理员可以利用这些日志信息,重现导致数据库现状的一系列事件,找出非法操作的用户、时间和内容等。
关于审计功能,用户需要了解以下几点内容:
- 审计总开关audit_enabled支持动态加载。在数据库运行期间修改该配置项的值会立即生效,无需重启数据库。默认值为on,表示开启审计功能。
- 除了审计总开关,各个审计项也有对应的开关。只有开关开启,对应的审计功能才能生效。
- 各审计项的开关支持动态加载。在数据库运行期间修改审计开关的值,不需要重启数据库便可生效。
目前,openGauss支持以下审计项如表1所示。
表 1 配置审计项
| 配置项 | 描述 |
|---|---|
| 用户登录、注销审计 | 参数:audit_login_logout默认值为7,表示开启用户登录、退出的审计功能。设置为0表示关闭用户登录、退出的审计功能。不推荐设置除0和7之外的值。 |
| 数据库启动、停止、恢复和切换审计 | 参数:audit_database_process默认值为1,表示开启数据库启动、停止、恢复和切换的审计功能。 |
| 用户锁定和解锁审计 | 参数:audit_user_locked默认值为1,表示开启审计用户锁定和解锁功能。 |
| 用户访问越权审计 | 参数:audit_user_violation默认值为0,表示关闭用户越权操作审计功能。 |
| 授权和回收权限审计 | 参数:audit_grant_revoke默认值为1,表示开启审计用户权限授予和回收功能。 |
| 对用户操作进行全量审计 | 参数:full_audit_users默认值为空字符串,表示采用默认配置,未配置全量审计用户。 |
| 不需要审计的客户端名称及IP地址 | 参数:no_audit_client默认值为空字符串,表示采用默认配置,未将客户端及IP加入审计黑名单。 |
| 数据库对象的CREATE,ALTER,DROP操作审计 | 参数:audit_system_object默认值为67121159,表示只对DATABASE、SCHEMA、USER、DATA SOURCE这四类数据库对象的CREATE、ALTER、DROP操作进行审计。 |
| 具体表的INSERT、UPDATE和DELETE操作审计 | 参数:audit_dml_state默认值为0,表示关闭具体表的DML操作(SELECT除外)审计功能。 |
| SELECT操作审计 | 参数:audit_dml_state_select默认值为0,表示关闭SELECT操作审计功能。 |
| COPY审计 | 参数:audit_copy_exec默认值为1,表示开启copy操作审计功能。 |
| 存储过程和自定义函数的执行审计 | 参数:audit_function_exec默认值为0,表示不记录存储过程和自定义函数的执行审计日志。 |
| 执行白名单内的系统函数审计 | 参数:audit_system_function_exec默认值为0,表示不记录执行系统函数的审计日志。 |
| SET审计 | 参数:audit_set_parameter默认值为0,表示关闭SET审计功能。 |
| 事务ID记录 | 参数:audit_xid_info默认值为0,表示关闭审计日志记录事务ID功能。 |
安全相关参数及说明请参见表2。
表 2 安全相关参数及说明
| 参数名 | 说明 |
|---|---|
| ssl | 指定是否启用SSL连接。 |
| require_ssl | 指定服务器端是否强制要求SSL连接。 |
| ssl_ciphers | 指定SSL支持的加密算法列表。 |
| ssl_cert_file | 指定包含SSL服务器证书的文件的名称。 |
| ssl_key_file | 指定包含SSL私钥的文件名称。 |
| ssl_ca_file | 指定包含CA信息的文件的名称。 |
| ssl_crl_file | 指定包含CRL信息的文件的名称。 |
| password_policy | 指定是否进行密码复杂度检查。 |
| password_reuse_time | 指定是否对新密码进行可重用天数检查。 |
| password_reuse_max | 指定是否对新密码进行可重用次数检查。 |
| password_lock_time | 指定帐户被锁定后自动解锁的时间。 |
| failed_login_attempts | 如果输入密码错误的次数达到此参数值时,当前帐户被锁定。 |
| password_encryption_type | 指定采用何种加密方式对用户密码进行加密存储。 |
| password_min_uppercase | 密码中至少需要包含大写字母的个数。 |
| password_min_lowercase | 密码中至少需要包含小写字母的个数。 |
| password_min_digital | 密码中至少需要包含数字的个数。 |
| password_min_special | 密码中至少需要包含特殊字符的个数。 |
| password_min_length | 密码的最小长度。说明:在设置此参数时,请将其设置成不大于password_max_length,否则进行涉及密码的操作会一直出现密码长度错误的提示 |
| password_max_length | 密码的最大长度。说明:在设置此参数时,请将其设置成不小于password_min_length,否则进行涉及密码的操作会一直出现密码长度错误的提示。 |
| password_effect_time | 密码的有效期限。 |
| password_notify_time | 密码到期提醒的天数。 |
| audit_enabled | 控制审计进程的开启和关闭。 |
| audit_directory | 审计文件的存储目录。 |
| audit_data_format | 审计日志文件的格式,当前仅支持二进制格式(binary)。 |
| audit_rotation_interval | 指定创建一个新审计日志文件的时间间隔。当现在的时间减去上次创建一个审计日志的时间超过了此参数值时,服务器将生成一个新的审计日志文件。 |
| audit_rotation_size | 指定审计日志文件的最大容量。当审计日志消息的总量超过此参数值时,服务器将生成一个新的审计日志文件。 |
| audit_resource_policy | 控制审计日志的保存策略,以空间还是时间限制为优先策略,on表示以空间为优先策略。 |
| audit_file_remain_time | 表示需记录审计日志的最短时间要求,该参数在audit_resource_policy为off时生效。 |
| audit_space_limit | 审计文件占用磁盘空间的最大值。 |
| audit_file_remain_threshold | 审计目录下审计文件的最大数量。 |
| audit_login_logout | 指定是否审计数据库用户的登录(包括登录成功和登录失败)、注销。 |
| audit_database_process | 指定是否审计数据库启动、停止、切换和恢复的操作。 |
| audit_user_locked | 指定是否审计数据库用户的锁定和解锁。 |
| audit_user_violation | 指定是否审计数据库用户的越权访问操作。 |
| audit_grant_revoke | 指定是否审计数据库用户权限授予和回收的操作。 |
| full_audit_users | 指定全量审计用户列表,对列表中的用户执行的所有可被审计的操作记录审计日志。 |
| no_audit_client | 指定不需要审计的客户端名称及IP地址列表。 |
| audit_system_object | 指定是否审计数据库对象的CREATE、DROP、ALTER操作。 |
| audit_dml_state | 指定是否审计具体表的INSERT、UPDATE、DELETE操作。 |
| audit_dml_state_select | 指定是否审计SELECT操作。 |
| audit_copy_exec | 指定是否审计COPY操作。 |
| audit_function_exec | 指定在执行存储过程、匿名块或自定义函数(不包括系统自带函数)时是否记录审计信息。 |
| audit_system_function_exec | 指定是否开启对执行白名单内的系统函数记录审计日志。 |
| audit_set_parameter | 指定是否审计SET操作。 |
| enableSeparationOfDuty | 指定是否开启三权分立。 |
| session_timeout | |
| auth_iteration_count | 认证加密信息生成过程中使用的迭代次数。 |
116.2 操作步骤
-
以操作系统用户omm登录数据库主节点。
-
连接数据库。
数据库安装完成后,默认生成名称为postgres的数据库。第一次连接数据库时可以连接到此数据库。
执行如下命令连接数据库。
gsql -d postgres -p 8000其中postgres为需要连接的数据库名称,8000为数据库主节点的端口号。请根据实际情况替换。另外,也可以使用如下任一命令连接数据库。
gsql postgres://omm:Gauss_234@127.0.0.1:8000/postgres -r gsql -d "host=127.0.0.1 port=8000 dbname=postgres user=omm password=Gauss_234"连接成功后,系统显示类似如下信息:
gsql((openGauss x.x.x build f521c606) compiled at 2021-09-16 14:55:22 commit 2935 last mr 6385 release) Non-SSL connection (SSL connection is recommended when requiring high-security) Type "help" for help.openGauss=#omm用户是管理员用户,因此系统显示“DBNAME=#”。若使用普通用户身份登录和连接数据库,系统显示“DBNAME=>”。
“Non-SSL connection”表示未使用SSL方式连接数据库。如果需要高安全性时,请使用SSL连接。
说明: gsql是本产品提供的命令行方式的数据库连接工具。更多的数据库连接办法可参考使用gsql访问openGauss。 -
检查审计总开关状态。
-
用show命令显示审计总开关audit_enabled的值。
openGauss=# SHOW audit_enabled;如果显示为off,执行‘\q’命令退出数据库,继续执行后续步骤。如果显示为on,则无需执行后续步骤。
-
执行如下命令开启审计功能,参数设置立即生效。
gs_guc set -N all -I all -c "audit_enabled=on"
-
-
配置具体的审计项。
说明:- 只有开启审计功能,用户的操作才会被记录到审计文件中。
- 各审计项的默认参数都符合安全标准,用户可以根据需要开启其他审计功能,但会对性能有一定影响。
以开启对数据库所有对象的增删改操作的审计开关为例,其他配置项的修改方法与此相同,修改配置项的方法如下所示:
gs_guc reload -N all -I all -c "audit_system_object=12295"其中audit_system_object代表审计项开关,12295为该审计开关的值。
👍 点赞,你的认可是我创作的动力!
⭐️ 收藏,你的青睐是我努力的方向!
✏️ 评论,你的意见是我进步的财富!
相关文章:
openGauss学习笔记-116 openGauss 数据库管理-设置数据库审计-审计概述
文章目录 openGauss学习笔记-116 openGauss 数据库管理-设置数据库审计-审计概述116.1 背景信息116.2 操作步骤 openGauss学习笔记-116 openGauss 数据库管理-设置数据库审计-审计概述 116.1 背景信息 数据库安全对数据库系统来说至关重要。openGauss将用户对数据库的所有操作…...
python编程复习系列——week2(Input Output (2))
文章目录 一、多行代码语句二、Escape序列三、字符串格式四、数值运算课后作业 一、多行代码语句 🥞使用反斜杠\来表示在下一行中继续使用一条语句。 subject_code "CSCI111" subject_mark 80 subject_grade "D" result "Subject re…...
为什么HTTP用得很好的,开始普及HTTPS呢?
显而易见,现在的HTTP早已不安全,当我们在浏览各个网站时会发现HTTP前面都会显示不安全,因为HTTP是明文传输,一旦电脑被植入了木马,木马程序就会主动周期性发消息给Internet的控制终端,这样NAT小洞会一直敞开…...
C++day6作业
1.思维导图 2.编程题: 以下是一个简单的比喻,将多态概念与生活中的实际情况相联系: 比喻:动物园的讲解员和动物表演 想象一下你去了一家动物园,看到了许多不同种类的动物,如狮子、大象、猴子等。现在&am…...
【 毕设项目源码推荐 javaweb 项目】 基于 springboot+vue 的图书个性化推荐系统的设计与实现(springboot003)
简介 :::warning 【 毕设项目源码推荐 javaweb 项目】 基于 springbootvue 的图书个性化推荐系统的设计与实现适用于计算机类毕业设计,课程设计参考与学习用途。仅供学习参考, 不得用于商业或者非法用途,否则,一切后果请用户自负…...
FFmpeg编译hevc版本,支持mac、linux系统
相关前置库 openssl 仓库:https://github.com/openssl/openssl.git编译方式参考INSTALL.md中的步骤 # Unix / Linux / macOS$ ./config$ make && sudo make installlame库 如果需要处理mp3相关,依赖lame库, 仓库:https…...
AI系统ChatGPT程序源码+AI绘画系统源码+支持GPT4.0+Midjourney绘画+已支持OpenAI GPT全模型+国内AI全模型
一、AI创作系统 SparkAi创作系统是基于OpenAI很火的ChatGPT进行开发的Ai智能问答系统和Midjourney绘画系统,支持OpenAI-GPT全模型国内AI全模型。本期针对源码系统整体测试下来非常完美,可以说SparkAi是目前国内一款的ChatGPT对接OpenAI软件系统。那么如…...
Unity 3D 调整cube的颜色
1.选中Assets后,右键->Create->Material 2.调整Material的颜色,然后将Material拖到对应的cube上...
数字通信和fpga概述——杜勇版本学习笔记
1数字通信处理流程 脉冲调制是每个数字通信系统中间必不可少的环节,通常是使用升余弦滚降滤波器来实现。 超外差接收机原理是利用本地产生的振荡波与输入信号混频,将输入信号频率变换为某个预先确定的频率的方法。超外差原理最早是由E.H.阿姆斯特朗于1…...
17.复制字符串 ,包括\0
#include<stdio.h> #include <cstring>int main(){int len1,len2;char s1[44];char s2[33];scanf("%s",s1);scanf("%s",s2);len1strlen(s1)1;printf("先s1的字符长度为:%d\n",len1) ;strcpy(s1,s2) ;printf("复制字…...
方法的使用)
C# List<T>.IndexOf()方法的使用
C#中的List<T>.IndexOf()方法用于查找指定元素在列表中的索引位置。它返回第一个匹配项的索引,如果未找到匹配项,则返回-1。 语法:有三种参数可选 int List<T>.IndexOf(T item); int List<T>.IndexOf(T item, int star…...
深入理解JVM虚拟机第十八篇:JVM种局部变量表结构的认识
大神链接:作者有幸结识技术大神孙哥为好友,获益匪浅。现在把孙哥视频分享给大家。 孙哥链接:孙哥个人主页 作者简介:一个颜值99分,只比孙哥差一点的程序员 本专栏简介:话不多说,让我们一起干翻JVM 本文章简介:话不多说,让我们讲清楚虚拟机栈存储结构和运行原理 文章目…...
zabbix监控安装-linux
zabbix6.4中文文档1. 简介 (zabbix.com) Zabbix 是一个企业级的开源分布式监控解决方案。 1.zabbix结构体系 Server: server 是存储所有配置、统计和操作数据的中央存储库。 Proxy: zabbix proxy可以代替 Zabbix server 收集性能和可用性数据。p…...
7+差异分析+WGCNA+PPI网络,学会了不吃亏
今天给同学们分享一篇生信文章“Integrated PPI- and WGCNA-Retrieval of Hub Gene Signatures Shared Between Barretts Esophagus and Esophageal Adenocarcinoma”,这篇文章发表在Front Pharmacol期刊上,影响因子为5.6。 结果解读: 选定研…...
接口自动化测试
下面我们来看看,针对在本章优化重构后的接口测试框架来说,有哪些优点呢。 我们首先来看下目录, 1.Case文件夹用来存放我们的测试用例相关的, 2.Data用来存储我们的测试数据,Excel管理测试用例,yaml文件管理…...
SPASS-描述性分析
将身高移入变量 结果展示: 表中分析变量“身高”的个案数、所有个案中的极大值、极小值、均值、标准差及偏度和峰度...
kafka-go操作kafka
package mainimport ("context""fmt""os""os/signal""syscall""time""github.com/segmentio/kafka-go" )var (topic "user_click"reader *kafka.Reader )// 生产消息 func writeKafka(ctx …...
如何判断被DDoS攻击
当网络和设备正常的情况下,服务器突然出现连接断开、访问卡顿、用户掉线等情况;服务器CPU或内存占用率出现明显增长;网络出入流量出现明显增长;网站或应用程序突然出现大量的未知访问;登录服务器失败或者登录过慢等等。以上是最为常见的服务器被 DDoS攻击后出现的几…...
web —— html
Web —— css基础 1. HTML2. 基本HTML结构3. HTML常用标签3.1 文本相关标签3.2 HTML图像标签3.3 HTML超链接标签3.4 HTML表,单3.4.1 HTML表格3.4.2 HTML表单,输入框(多选框,单选框)下拉框 3.5 HTML分区标签3.5.1 div标…...
)
【C/PTA】数组练习(编程)
本文结合PTA专项练习带领读者掌握数组,刷题为主注释为辅,在代码中理解思路,其它不做过多叙述。 文章目录 7-1 计算最大值出现的次数7-2 求一批整数中出现最多的个位数字7-3 装箱问题7-4 数组-值钱的微信号7-5 数组-吹泡泡7-6 数组-数学鬼才 7…...
阿里云社招一面:数据库中有 1000 万数据的时候怎么分页查询?
今天给大家分享一道阿里云社招面试中的经典问题——如何处理千万级数据的分页查询。这不仅是高频面试题,更是实际业务中必须解决的性能难题。下面我会从基础实现到阿里级优化方案,逐步拆解这个问题的技术要点。 1. 基础方案:LIMIT OFFSET的致…...
如何高效使用UEDumper:虚幻引擎逆向分析实战指南
如何高效使用UEDumper:虚幻引擎逆向分析实战指南 【免费下载链接】UEDumper The most powerful Unreal Engine Dumper and Editor for UE 4.19 - 5.3 项目地址: https://gitcode.com/gh_mirrors/ue/UEDumper UEDumper是一款功能强大的虚幻引擎dump工具&#…...
→实时调试技巧,附VS Code 1.89+兼容性验证报告)
从零部署Copilot Next自动化工作流:1个命令安装→4类角色定制(前端/后端/DevOps/数据工程师)→实时调试技巧,附VS Code 1.89+兼容性验证报告
更多请点击: https://intelliparadigm.com 第一章:从零部署Copilot Next自动化工作流:核心价值与适用边界 Copilot Next 并非传统 IDE 插件的简单升级,而是一套可嵌入、可编排、可审计的 LLM 原生自动化运行时。它通过声明式 YAM…...
Flink智能体:流处理与LLM融合的实时AI应用开发指南
1. 项目概述:当Flink遇见智能体,一个面向未来的流处理新范式最近在开源社区里,一个名为apache/flink-agents的项目悄然出现,引起了我们这些常年和流处理打交道的工程师的注意。乍一看标题,可能会有点困惑:A…...
2026届学术党必备的十大AI辅助写作助手实测分析
Ai论文网站排名(开题报告、文献综述、降aigc率、降重综合对比) TOP1. 千笔AI TOP2. aipasspaper TOP3. 清北论文 TOP4. 豆包 TOP5. kimi TOP6. deepseek 就目前而言,占据主流地位的降低AI率的网站,主要借助文本重述、句式变…...
MySQL ER_GRP_RPL_SERVER_SET_TO_READ_ONLY_DUE_TO_ERRORS报错怎么修复?
针对 MySQL ER_GRP_RPL_SERVER_SET_TO_READ_ONLY_DUE_TO_ERRORS 报错,修复的核心在于排查服务器组复制错误原因并恢复读写模式。远程处理时,首先登录数据库检查全局只读状态,若因复制错误导致自动只读,需查看错误日志定位具体故障…...
VS Code Copilot Next 自动化工作流配置全拆解:7步零误差落地,含官方未公开的config.json黄金参数!
更多请点击: https://intelliparadigm.com 第一章:VS Code Copilot Next 自动化工作流配置全景认知 VS Code Copilot Next 并非简单插件升级,而是融合 GitHub Models、本地 LLM 调度网关与 VS Code Extension Host 的新一代智能代理架构。其…...
 从 1 亿用户表聊起:手机号字段到底该用 varchar、char 还是 bigint?)
【后端开发】(真实场景/面试题) 从 1 亿用户表聊起:手机号字段到底该用 varchar、char 还是 bigint?
文章目录前言1 手机号到底是不是“数字”?1.1 为什么不能直接用 int?1.2 bigint 能存,为什么也不推荐?1.3 手机号更像身份证号,而不是年龄2 在 1 亿用户表下,字段类型怎么选?2.1 varchar(11) 够…...
康复机器人开发笔记:用TwinCAT3和EtherCAT搞定无框力矩电机的第一步
康复机器人关节控制实战:基于TwinCAT3的无框力矩电机集成指南 在康复机器人研发领域,关节驱动的精确控制直接关系到患者训练的安全性和舒适度。不同于工业场景的伺服控制,医疗级运动系统需要兼顾力矩反馈的灵敏度和运动轨迹的柔顺性。本文将深…...
)
别再乱写SDC了!手把手教你搞定时钟约束(从create_clock到set_clock_group)
数字设计时序约束实战:从基础时钟定义到复杂时钟域处理 在数字集成电路设计中,时钟约束的正确编写往往决定着整个项目的成败。许多初学者在掌握了基本SDC语法后,面对实际项目中的复杂时钟结构时仍然会犯各种典型错误。本文将从一个资深后端工…...