当前位置:   article > 正文

openGauss数据库安全指导手册_opengauss使用手册

opengauss使用手册

简介

本实验适用于 openGauss数据库,通过该实验可以顺利完成对数据库用户权限的控制及各种审计。

内容描述

本实验主要内容为用户权限控制(包括用户、角色、权限的授予、权限的回收)和各审计。

前置条件

openGauss数据库安全实验需要掌握openGauss数据库的基本操作和SQL语法,openGauss数据库支持SQL2003标准语法,数据库基本操作参见附录一。

实验环境说明

组网说明
本实验环境为华为云 ECS 服务器 + openGauss数据库。

设备介绍
为了满足数据库原理与实践课程实验需要,建议每套实验环境采用以下配置:
设备名称、型号与版本的对应关系如下:

设备明细表

设备名称设备型号软件版本
数据库openGaussopenGauss 1.1.0
操作系统openEuleropenEuler 20.3LTS

实验概览
在这里插入图片描述

1 用户权限控制

1.1 实验介绍

1.1.1 关于本实验

本实验主要描述用户的创建管理、角色的创建管理、Schema的创建管理、用户权限设置、用户安全策略设置。

1.1.2 实验目的

●掌握用户、角色、Schema的创建及管理;
●掌握用户权限的授予各回收;
● 掌握用户安全策略如何设置。

1.2 用户

通过CREATE USER创建的用户,默认具有LOGIN权限;
通过CREATE USER创建用户的同时系统会在执行该命令的数据库中,为该用户创建一个同名的SCHEMA;其他数据库中,则不自动创建同名的SCHEMA;用户可使用CREATE SCHEMA命令,分别在其他数据库中,为该用户创建同名SCHEMA。

1.2.1 创建、修改、删除用户

步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。

gsql -d postgres -p 26000 -r
  • 1

步骤 2 连接数据库后,进入SQL命令界面。创建用户jim,登录密码为Bigdata@123。

postgres=# CREATE USER jim PASSWORD 'Bigdata@123';
CREATE ROLE
  • 1
  • 2

说明:密码规则如下:
● 密码默认不少于8个字符;
● 不能与用户名及用户名倒序相同;
● 至少包含大写字母(A-Z),小写字母(a-z),数字(0-9),非字母数字字符(限定为~!@#$%^&*()-_=+|[{}];:,<.>/?)四类字符中的三类字符;
● 创建用户时,应当使用双引号或单引号将用户密码括起来。
步骤 3 查看用户列表。

postgres=# SELECT * FROM pg_user; 
 usename | usesysid | usecreatedb | usesuper | usecatupd | userepl |  passwd  | valbegin | valuntil |   respool    | parent | spacelimit | useconfig | nodegroup |
 tempspacelimit | spillspacelimit 
---------+----------+-------------+----------+-----------+---------+----------+---
 omm     |       10 | t           | t        | t         | t       | ******** |          |          | default_pool |      0 |            |           |           |
                | 
 jim     |    16389 | f           | f        | f         | f       | ******** |          |          | default_pool |      0 |            |           |           |
                | 
(2 rows)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

步骤 4 创建有“创建数据库”权限的用户,则需要加CREATEDB关键字。

postgres=# CREATE USER dim CREATEDB PASSWORD 'Bigdata@123';
CREATE ROLE
  • 1
  • 2

步骤 5 将用户jim的登录密码由Bigdata@123修改为Abcd@123。

postgres=# ALTER USER jim IDENTIFIED BY 'Abcd@123' REPLACE 'Bigdata@123';
ALTER ROLE
  • 1
  • 2

步骤 6 为用户jim追加有创建角色的CREATEROLE权限。

postgres=# ALTER USER jim CREATEROLE;
ALTER ROLE
  • 1
  • 2

步骤 7 锁定jim帐户。

postgres=# ALTER USER jim ACCOUNT LOCK;
ALTER ROLE
  • 1
  • 2

步骤 8 解锁jim帐户。

postgres=# ALTER USER jim ACCOUNT UNLOCK;
ALTER ROLE
  • 1
  • 2

步骤 9 删除用户。

postgres=# DROP USER jim CASCADE;
DROP ROLE
  • 1
  • 2

步骤 10 退出数据库

postgres=# \q
  • 1

1.3 角色

角色是拥有数据库对象和权限的实体。在不同的环境中角色可以认为是一个用户,一个组或者兼顾两者。
在数据库中添加一个新角色,角色无登录权限。
创建角色的用户必须具备CREATE ROLE的权限或者是系统管理员。

1.3.1 创建、修改、删除角色

步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。

gsql -d postgres -p 26000 -r
  • 1

步骤 2 创建一个角色,名为manager,密码为Bigdata@123。

postgres=# CREATE ROLE manager IDENTIFIED BY 'Bigdata@123';
CREATE ROLE
  • 1
  • 2

步骤 3 创建一个角色,从2021年1月1日开始生效,到2021年6月1日失效。

postgres=# CREATE ROLE miriam WITH LOGIN PASSWORD 'Bigdata@123' VALID BEGIN '2021-01-01' VALID UNTIL '2021-06-01';
CREATE ROLE
  • 1
  • 2

步骤 4 修改角色manager的密码为abcd@123。

postgres=# ALTER ROLE manager IDENTIFIED BY 'abcd@123' REPLACE 'Bigdata@123';
ALTER ROLE
  • 1
  • 2

步骤 5 修改角色manager为系统管理员。

postgres=# ALTER ROLE manager SYSADMIN;
ALTER ROLE
  • 1
  • 2

步骤 6 删除角色manager。

postgres=# DROP ROLE manager;
DROP ROLE
  • 1
  • 2

步骤 7 查看角色。

postgres=# SELECT * FROM PG_ROLES;
 rolname | rolsuper | rolinherit | rolcreaterole | rolcreatedb | rolcatupdate | rolcanlogin | rolreplication | rolauditadmin | rolsystemadmin | rolconnlimit | rol
password |     rolvalidbegin      |     rolvaliduntil      |  rolrespool  | rolparentid | roltabspace | rolconfig |  oid  | roluseft | rolkind | nodegroup | rolte
mpspace | rolspillspace 
---------+----------+------------+---------------+-------------+--------------+-------------+----------------+---------------
 omm     | t        | t          | t             | t           | t            | t           | t              | t             | t              |           -1 | ***
*****    |                        |                        | default_pool |           0 |             |           |    10 | t        | n       |           |      
        | 
 dim     | f        | t          | f             | t           | f            | t           | f              | f             | f              |           -1 | ***
*****    |                        |                        | default_pool |           0 |             |           | 16393 | f        | n       |           |      
        | 
 miriam  | f        | t          | f             | f           | f            | t           | f              | f             | f              |           -1 | ***
*****    | 2020-07-01 00:00:00+08 | 2020-12-01 00:00:00+08 | default_pool |           0 |             |           | 16401 | f        | n       |           |      
        | 
(3 rows)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

步骤 8 退出数据库

postgres=# \q
  • 1

1.4 Schema

Schema又称作模式。通过管理Schema,允许多个用户使用同一数据库而不相互干扰。
每个数据库包含一个或多个Schema。
在数据库创建用户时,系统会自动帮助用户创建一个同名Schema。

1.4.1 创建、修改、删除Schema

步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。

gsql -d postgres -p 26000 -r
  • 1

步骤 2 创建模式ds。

postgres=# CREATE SCHEMA ds;
CREATE SCHEMA
  • 1
  • 2

步骤 3 将当前模式ds更名为ds_new。

postgres=# ALTER SCHEMA ds RENAME TO ds_new;
ALTER SCHEMA
  • 1
  • 2

步骤 4 创建用户jack。

postgres=# CREATE USER jack PASSWORD 'Bigdata@123';
CREATE ROLE
  • 1
  • 2

步骤 5 将DS_NEW的所有者修改为jack。

postgres=# ALTER SCHEMA ds_new OWNER TO jack;
ALTER SCHEMA
  • 1
  • 2

步骤 6 查看Schema所有者。

postgres=# SELECT s.nspname,u.usename AS nspowner FROM pg_namespace s, pg_user u WHERE s.nspowner = u.usesysid;
      nspname       | nspowner 
--------------------+----------
 pg_toast           | omm
 cstore             | omm
 dbe_perf           | omm
 snapshot           | omm
 pg_catalog         | omm
 public             | omm
 information_schema | omm
 dim                | dim
 jack               | jack
 ds_new             | jack
(10 rows)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14

步骤 7 删除用户jack和模式ds_new。

postgres=# DROP SCHEMA ds_new;
DROP SCHEMA
postgres=# DROP USER jack;
DROP ROLE
  • 1
  • 2
  • 3
  • 4

步骤 8 退出数据库

postgres=# \q
  • 1

1.5 用户权限设置及回收

使用GRANT命令进行用户授权包括以下三种场景:
● 将系统权限授权给角色或用户。
● 将数据库对象授权给角色或用户。
● 将角色或用户的权限授权给其他角色或用户。

1.5.1 将系统权限授权给用户或者角色

步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。

gsql -d postgres -p 26000 -r
  • 1

步骤 2 创建名为joe的用户,并将sysadmin权限授权给joe。

postgres=# CREATE USER joe PASSWORD 'Bigdata@123';
CREATE ROLE
postgres=# GRANT ALL PRIVILEGES TO joe;
ALTER ROLE
  • 1
  • 2
  • 3
  • 4

1.5.2 将数据库对象授权给角色或用户

步骤 1 撤销joe用户的sysadmin权限,然后创建tpcds模式,并给tpcds模式下创建一张reason表。

postgres=# REVOKE ALL PRIVILEGES FROM joe;
ALTER ROLE
postgres=# CREATE SCHEMA tpcds;
CREATE SCHEMA
postgres=# CREATE TABLE tpcds.reason
(
    r_reason_sk            INTEGER               NOT NULL,
    r_reason_id            CHAR(16)              NOT NULL,
    r_reason_desc                VARCHAR(20)                  
);
CREATE TABLE
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

步骤 2 将模式tpcds的使用权限和表tpcds.reason的所有权限授权给用户joe。

postgres=# GRANT USAGE ON SCHEMA tpcds TO joe;
GRANT
postgres=# GRANT ALL PRIVILEGES ON tpcds.reason TO joe;
GRANT
  • 1
  • 2
  • 3
  • 4

授权成功后,joe用户就拥有了tpcds.reason表的所有权限,包括增删改查等权限。

步骤 3 将tpcds.reason表中r_reason_sk、r_reason_id、r_reason_desc列的查询权限,r_reason_desc的更新权限授权给joe。

postgres=# GRANT select (r_reason_sk,r_reason_id,r_reason_desc),update (r_reason_desc) ON tpcds.reason TO joe;
GRANT
  • 1
  • 2

步骤 4 将数据库postgres的连接权限授权给用户joe,并给予其在postgres中创建schema的权限,而且允许joe将此权限授权给其他用户。

postgres=# GRANT create,connect on database postgres TO joe WITH GRANT OPTION;
GRANT
  • 1
  • 2

步骤 5 创建角色tpcds_manager,将模式tpcds的访问权限授权给角色tpcds_manager,并授予该角色在tpcds下创建对象的权限,不允许该角色中的用户将权限授权给其人。

postgres=# CREATE ROLE tpcds_manager PASSWORD 'Bigdata@123';
CREATE ROLE
postgres=# GRANT USAGE,CREATE ON SCHEMA tpcds TO tpcds_manager;
GRANT
  • 1
  • 2
  • 3
  • 4

1.5.3 将用户或者角色的权限授权给其他用户或角色

步骤 1 创建角色manager,将joe的权限授权给manager,并允许该角色将权限授权给其他人。

postgres=# CREATE ROLE manager PASSWORD 'Bigdata@123';
CREATE ROLE
postgres=# GRANT joe TO manager WITH ADMIN OPTION;
GRANT ROLE
  • 1
  • 2
  • 3
  • 4

步骤 2 创建用户senior_manager,将用户manager的权限授权给该用户。

postgres=# CREATE ROLE senior_manager PASSWORD 'Bigdata@123';
CREATE ROLE
postgres=# GRANT manager TO senior_manager;
GRANT ROLE
  • 1
  • 2
  • 3
  • 4

1.5.4 权限回收

步骤 1 撤销权限,并清理用户。

postgres=# REVOKE joe FROM manager;
REVOKE ROLE
postgres=# REVOKE manager FROM senior_manager;
REVOKE ROLE
postgres=# DROP USER manager;
DROP ROLE
postgres=# REVOKE ALL PRIVILEGES ON tpcds.reason FROM joe;
REVOKE
postgres=# REVOKE ALL PRIVILEGES ON SCHEMA tpcds FROM joe;
REVOKE
postgres=# REVOKE USAGE,CREATE ON SCHEMA tpcds FROM tpcds_manager;
REVOKE
postgres=# DROP ROLE tpcds_manager;
DROP ROLE
postgres=# DROP ROLE senior_manager;
DROP ROLE
postgres=# DROP USER joe CASCADE;
DROP ROLE
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18

步骤 2 退出数据库

postgres=# \q
  • 1

注意:实验完成后请尽量清理本实验的对象,以免影响与其它实验产生冲突。

1.6 安全策略设置

为了保证帐户安全,如果用户输入密码次数超过一定次数(failed_login_attempts),系统将自动锁定该帐户,默认值为10。次数设置越小越安全,但是在使用过程中会带来不便。
当帐户被锁定时间超过设定值(password_lock_time),则当前帐户自动解锁,默认值为1天。时间设置越长越安全,但是在使用过程中会带来不便。

1.6.1 设置账户安全策略

步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。

gsql -d postgres -p 26000 -r
  • 1

步骤 2 配置failed_login_attempts参数。
查看已配置的参数。

postgres=# SHOW failed_login_attempts;
 failed_login_attempts 
-----------------------
 10
(1 row)
  • 1
  • 2
  • 3
  • 4
  • 5

如果显示结果不为10,执行“\q”命令退出数据库。
然后在操作系统 omm 用户下执行如下命令设置成默认值10。

gs_guc reload -D /gaussdb/data/dbnode -c "failed_login_attempts=10"
  • 1

注意:/gaussdb/data/dbnode 指的是数据目录,要根据自己实际情况调整。
比如数据目录/gaussdb/data/db1,执行结果如下。

[omm@ecs-700c ~]$ gs_guc reload -D /gaussdb/data/db1 -c "failed_login_attempts=9"
expected instance path: [/gaussdb/data/db1/postgresql.conf]
gs_guc reload: failed_login_attempts=9: [/gaussdb/data/ecs-700c/postgresql.conf]
server signaled

Total instances: 1. Failed instances: 0.
Success to perform gs_guc!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

步骤 3 配置password_lock_time参数。
查看已配置的参数。

[omm@ecs-c2f0 ~]$ gsql -d postgres -p 26000 -r
gsql ((openGauss 1.0.0 build 0bd0ce80) compiled at 2020-06-30 18:19:23 commit 0 last mr  )
Non-SSL connection (SSL connection is recommended when requiring high-security)
Type "help" for help.
postgres=# SHOW password_lock_time;
 password_lock_time 
--------------------
 1
(1 row)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

如果显示结果不为1,执行“\q”命令退出数据库。
然后在操作系统 omm 用户下执行如下命令设置成默认值1。

gs_guc reload -N all -I all -c "password_lock_time=1"
  • 1

执行结果如下:

[omm@ecs-700c ~]$ gs_guc reload -N all -I all -c "password_lock_time=1"
NOTICE: password_lock_time and failed_login_attempts must have positive for lock and unlock functions to work as.
Begin to perform gs_guc for all datanodes.

Total instances: 1. Failed instances: 0.
Success to perform gs_guc!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

1.6.2 设置账号有效期

创建新用户时,需要限制用户的操作期限(有效开始时间和有效结束时间)。
不在有效操作期内的用户需要重新设定帐号的有效操作期。

步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。

gsql -d postgres -p 26000 -r
  • 1

步骤 2 创建用户并制定用户的有效开始时间和有效结束时间。

postgres=# CREATE USER joe WITH PASSWORD 'Bigdata@123' VALID BEGIN '2020-07-10 08:00:00' VALID UNTIL '2022-10-10 08:00:00';
CREATE ROLE
  • 1
  • 2

步骤 3 重新设定帐号的有效期。

postgres=# ALTER USER joe WITH VALID BEGIN '2020-11-10 08:00:00' VALID UNTIL '2021-11-10 08:00:00';
ALTER ROLE
  • 1
  • 2

步骤 4 退出数据库

postgres=# \q
  • 1

1.6.3 设置密码安全策略

用户密码存储在系统表pg_authid中,为防止用户密码泄露,openGauss对用户密码可进行加密存储、密码复杂度设置、密码重用天数设置、密码有效期限设置等。

步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。

gsql -d postgres -p 26000 -r	
  • 1

步骤 2 配置的加密算法。
查看已配置的参数。

postgres=# SHOW password_encryption_type;
 password_encryption_type
--------------------------
 2
(1 row)
  • 1
  • 2
  • 3
  • 4
  • 5

如果显示结果为0或1,执行“\q”命令退出数据库。
然后在操作系统 omm 用户下执行如下命令将其设置为安全的加密算法。

gs_guc reload -N all -I all -c "password_encryption_type=2"
  • 1

注意说明:
● 当参数password_encryption_type设置为0时,表示采用md5方式对密码加密。md5为不安全的加密算法,不建议使用。
● 当参数password_encryption_type设置为1时,表示采用sha256和md5方式对密码加密。其中包含md5为不安全的加密算法,不建议使用。
● 当参数password_encryption_type设置为2时,表示采用sha256方式对密码加密,为默认配置。

步骤 3 配置密码安全参数。
查看已配置的参数。

postgres=# SHOW password_policy;
 password_policy 
-----------------
 1
(1 row)
  • 1
  • 2
  • 3
  • 4
  • 5

如果显示结果不为1,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值1。

gs_guc reload -N all -I all -c "password_policy=1"
  • 1

注意说明:
● 参数password_policy设置为1时表示采用密码复杂度校验,默认值;
● 参数password_policy设置为0时表示不采用任何密码复杂度校验,设置为0会存在安全风险,不建议设置为0,即使需要设置也要将所有openGauss节点中的password_policy都设置为0才能生效。

步骤 4 配置密码重用。
查看不可重用天数已配置的参数。

postgres=# SHOW password_reuse_time;
 password_reuse_time 
---------------------
 60
(1 row)
  • 1
  • 2
  • 3
  • 4
  • 5

如果显示结果不为60,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值60。

gs_guc reload -N all -I all -c "password_reuse_time=60"
  • 1

查看不可重用次数已配置的参数。

postgres=# SHOW password_reuse_max;
 password_reuse_max
 0
(1 row)
  • 1
  • 2
  • 3
  • 4

如果显示结果不为0,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值0。

gs_guc reload -N all -I all -c "password_reuse_max = 0"
  • 1

注意说明:
● 不可重用天数默认值为60天,不可重用次数默认值是0;
● 这两个参数值越大越安全,但是在使用过程中会带来不便,其默认值符合安全标准,用户可以根据需要重新设置参数,提高安全等级。

步骤 5 配置密码有效期限。
数据库用户的密码都有密码有效期(password_effect_time),当达到密码到期提醒天数(password_notify_time)时,系统会在用户登录数据库时提示用户修改密码。
配置password_effect_time参数。
查看已配置的参数。

postgres=# SHOW password_effect_time;
 password_effect_time
----------------------
 90
(1 row)
  • 1
  • 2
  • 3
  • 4
  • 5

如果显示结果不为90,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值90(不建议设置为0)。

gs_guc reload -N all -I all -c "password_effect_time = 90"
  • 1

● 配置password_notify_time参数。
查看已配置的参数。

postgres=# SHOW password_notify_time;
 password_notify_time
----------------------
 7
(1 row)
  • 1
  • 2
  • 3
  • 4
  • 5

如果显示结果不为7,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值7(不建议设置为0)。

gs_guc reload -N all -I all -c "password_notify_time = 7"
  • 1

用户权限控制实验结束。

2 审计

2.1 实验介绍

2.1.1 关于本实验

数据库安全对数据库系统来说至关重要,openGauss将用户对数据库的所有操作写入审计日志,数据库安全管理员可以利用这些日志信息,重现导致数据库现状的一系列事件,找出非法操作的用户、时间和内容等。

本实验主要描述如何来设置数据库审计,主要包括审计开关、查看审计结果、维护审计日志。

2.1.2 实验目的

掌握如何设置数据库审计及审计日志的查看。

2.2 审计开、关

审计总开关audit_enabled支持动态加载。在数据库运行期间修改该配置项的值会立即生效,无需重启数据库。默认值为on,表示开启审计功能。

除了审计总开关,各个审计项也有对应的开关。只有开关开启,对应的审计功能才能生效。
各审计项的开关支持动态加载。在数据库运行期间修改审计开关的值,不需要重启数据库便可生效。

步骤 1 审计总开关设置。
启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。

gsql -d postgres -p 26000 -r
查看已配置审计总开关参数。
postgres=# show audit_enabled;
 audit_enabled 
---------------
 on
(1 row)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

如果显示结果不为on,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值on(不建议设置为off)。

gs_guc reload -N all -I all -c "audit_enabled = on"
  • 1

步骤 2 审计项开关设置。
查看已配置审计项参数。
以下以数据库启动、停止、恢复和切换审计项为例。

postgres=# show audit_database_process;
 audit_database_process 
------------------------
 1
(1 row)
  • 1
  • 2
  • 3
  • 4
  • 5

如果显示结果不为1,执行“\q”命令退出数据库。
然后在操作系统 omm下执行如下命令设置成默认值1。

gs_guc reload -N all -I all -c " audit_database_process = 1"
  • 1

注意说明:
● 用户登录、注销审计 。
参数:audit_login_logout。
默认值为7,表示开启用户登录、退出的审计功能。设置为0表示关闭用户登录、退出的审计功能。不推荐设置除0和7之外的值。
● 数据库启动、停止、恢复和切换审计。
参数:audit_database_process。
默认值为1,表示开启数据库启动、停止、恢复和切换的审计功能。
● 用户锁定和解锁审计 。
参数:audit_user_locked。
默认值为1,表示开启审计用户锁定和解锁功能。
● 用户访问越权审计。
参数:audit_user_violation。
默认值为0,表示关闭用户越权操作审计功能。
● 授权和回收权限审计 。
参数:audit_grant_revoke。
默认值为1,表示开启审计用户权限授予和回收功能。
● 数据库对象的CREATE,ALTER,DROP操作审计。
参数:audit_system_object。
默认值为12295,表示只对DATABASE、SCHEMA、USER、DATA SOURCE这四类数据库对象的CREATE、ALTER、DROP操作进行审计。
● 具体表的INSERT、UPDATE和DELETE操作审计。
参数:audit_dml_state。
默认值为0,表示关闭具体表的DML操作(SELECT除外)审计功能。
● SELECT操作审计。
参数:audit_dml_state_select。
默认值为0,表示关闭SELECT操作审计功能。
● COPY审计。
参数:audit_copy_exec。
默认值为0,表示关闭copy操作审计功能。
● 存储过程和自定义函数的执行审计 。
参数:audit_function_exec。
默认值为0,表示不记录存储过程和自定义函数的执行审计日志。
● SET审计 参数:audit_set_parameter。
默认值为1,表示记录set操作审计日志。

2.3 查看审计结果

步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。

gsql -d postgres -p 26000 -r
  • 1

步骤 2 查询审计记录。

postgres=# SELECT time,type,result,username,object_name  FROM pg_query_audit('2021-01-01 10:00:00','2021-08-15 09:47:33');
          time          |     type      | result | username |   object_name   
------------------------+---------------+--------+----------+-----------------
 2020-07-10 10:00:59+08 | user_logout   | ok     | omm      | postgres
 2020-07-10 10:02:39+08 | user_logout   | ok     | omm      | postgres
 2020-07-10 10:08:35+08 | login_success | ok     | omm      | postgres
 2020-07-10 10:08:35+08 | set_parameter | ok     | omm      | connection_info
 2020-07-10 10:08:40+08 | user_logout   | ok     | omm      | postgres
 2020-07-10 10:08:42+08 | login_success | ok     | omm      | postgres
 2020-07-10 10:08:42+08 | set_parameter | ok     | omm      | connection_info
 2020-07-10 10:14:56+08 | login_success | ok     | omm      | postgres
 2020-07-10 10:14:56+08 | set_parameter | ok     | omm      | connection_info
 2020-07-10 10:16:33+08 | ddl_database  | ok     | omm      | mydb
 2020-07-10 10:22:42+08 | user_logout   | ok     | omm      | postgres
 2020-07-10 10:26:51+08 | user_logout   | ok     | omm      | postgres
 2020-07-10 10:29:08+08 | login_success | ok     | omm      | postgres
 2020-07-10 10:29:08+08 | set_parameter | ok     | omm      | connection_info
 2020-07-10 10:48:23+08 | user_logout   | ok     | omm      | postgres
 2020-07-10 10:55:02+08 | login_success | ok     | omm      | postgres
 2020-07-10 10:55:02+08 | set_parameter | ok     | omm      | connection_info
 2020-07-10 10:55:48+08 | login_success | ok     | omm      | postgres
 2020-07-10 10:55:48+08 | set_parameter | ok     | omm      | connection_info
 2020-07-10 11:17:25+08 | login_success | ok     | omm      | postgres
 2020-07-10 11:17:25+08 | set_parameter | ok     | omm      | connection_info
 2020-07-10 11:31:06+08 | user_logout   | ok     | omm      | postgres
 2020-07-10 11:34:05+08 | login_success | ok     | omm      | postgres
 2020-07-10 11:34:05+08 | set_parameter | ok     | omm      | connection_info
 2020-07-10 11:40:11+08 | login_success | ok     | omm      | postgres
 2020-07-10 11:40:11+08 | set_parameter | ok     | omm      | connection_info
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29

步骤 3 退出数据库

postgres=# \q
  • 1

2.4 维护审计日志

设置自动删除审计日志。
步骤 1 启动服务器,再使用gsql客户端以管理员用户身份连接postgres数据库,假设端口号为26000。

gsql -d postgres -p 26000 -r
  • 1

步骤 2 配置审计文件占用磁盘空间的大小(audit_space_limit)。
查看已配置的参数。

postgres=# SHOW audit_space_limit;
 audit_space_limit
-------------------
 1GB
(1 row)
  • 1
  • 2
  • 3
  • 4
  • 5

如果显示结果不为1GB(1024MB),执行“\q”命令退出数据库。
然后在操作系统 omm用户下执行如下命令设置成默认值1024MB。

gs_guc reload -N all -I all -c "audit_space_limit=1024MB"
  • 1

步骤 3 配置审计文件个数的最大值(audit_file_remain_threshold)。
查看已配置的参数。

postgres=# SHOW audit_file_remain_threshold;
 audit_file_remain_threshold
-----------------------------
 1048576
(1 row)
  • 1
  • 2
  • 3
  • 4
  • 5

如果显示结果不为1048576,执行“\q”命令退出数据库。
然后在操作系统 omm用户执行如下命令设置成默认值1048576。

gs_guc reload -N all -I all -c "audit_file_remain_threshold=1048576"
  • 1

审计实验结束。

openGauss数据库安全指导手册就介绍到这里了,感谢您的阅读。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/969665
推荐阅读
  

闽ICP备14008679号