文章目录
openGauss学习笔记-113 openGauss 数据库管理-设置安全策略-设置帐户安全策略
113.1 背景信息
openGauss为帐户提供了自动锁定和解锁帐户、手动锁定和解锁异常帐户和删除不再使用的帐户等一系列的安全措施,保证数据安全。
113.2 自动锁定和解锁帐户
-
为了保证帐户安全,如果用户输入密码次数超过一定次数(failed_login_attempts),系统将自动锁定该帐户,默认值为10。次数设置越小越安全,但是在使用过程中会带来不便。
-
当帐户被锁定时间超过设定值(password_lock_time),则当前帐户自动解锁,默认值为1天。时间设置越长越安全,但是在使用过程中会带来不便。
113.2.1 配置failed_login_attempts参数
-
以操作系统用户omm登录数据库主节点。
-
使用如下命令连接数据库。
gsql -d postgres -p 8000
postgres为需要连接的数据库名称,8000为数据库主节点的端口号。
连接成功后,系统显示类似如下信息:
gsql ((openGauss 1.0 build 290d125f) compiled at 2020-05-08 02:59:43 commit 2143 last mr 131 Non-SSL connection (SSL connection is recommended when requiring high-security) Type "help" for help. openGauss=#
-
查看已配置的参数。
openGauss=# SHOW failed_login_attempts; failed_login_attempts ----------------------- 10 (1 row)
如果显示结果不为10,执行“\q”命令退出数据库。
-
执行如下命令设置成默认值10。
gs_guc reload -D /gaussdb/data/dbnode -c "failed_login_attempts=10"
113.2.2 配置password_lock_time参数
-
以操作系统用户omm登录数据库主节点。
-
使用如下命令连接数据库。
gsql -d postgres -p 8000
postgres为需要连接的数据库名称,8000为数据库主节点的端口号。
连接成功后,系统显示类似如下信息:
gsql ((openGauss 1.0 build 290d125f) compiled at 2020-05-08 02:59:43 commit 2143 last mr 131 Non-SSL connection (SSL connection is recommended when requiring high-security) Type "help" for help. openGauss=#
-
查看已配置的参数。
openGauss=# SHOW password_lock_time; password_lock_time ----------------------- 1 (1 row)
如果显示结果不为1,执行“\q”命令退出数据库。
-
执行如下命令设置成默认值1。
gs_guc reload -N all -I all -c "password_lock_time=1"
113.3 手动锁定和解锁帐户
若管理员发现某帐户被盗、非法访问等异常情况,可手动锁定该帐户。
当管理员认为帐户恢复正常后,可手动解锁该帐户。
以手动锁定和解锁用户joe为例,用户的创建请参见用户,命令格式如下:
-
手动锁定
openGauss=# ALTER USER joe ACCOUNT LOCK; ALTER ROLE
-
手动解锁
openGauss=# ALTER USER joe ACCOUNT UNLOCK; ALTER ROLE
113.4 删除不再使用的帐户
当确认帐户不再使用,管理员可以删除帐户。该操作不可恢复。
当删除的用户正处于活动状态时,此会话状态不会立马断开,用户在会话状态断开后才会被完全删除。
以删除帐户joe为例,命令格式如下:
openGauss=# DROP USER joe CASCADE;
DROP ROLE