OGG的加密和許可權控制
OGG可分別對trail檔案/資料庫秘密/TCP連線進行加密,同時提供CMDDESC檔案用於控制OS使用者執行GGSCI命令;
加密trail檔案
Extract對trail加密,而datapump/replicat對其解密讀取,兩者演算法必須一致;當extract寫多個trail時,可配置部分加密部分不加密
ENCRYPTTRAIL [{AES128 | AES192 | AES256} KEYNAME
DECRYPTTRAIL [{AES128 | AES192 | AES256} KEYNAME
案例
Extract引數檔案
EXTRACT capt
USERID ogg, PASSWORD AACAAAAAAAAAAAJAUEUGODSCVGJEEIUGKJDJTFNDKEJFFFTC, &
AES128 KEYNAME mykey1
DISCARDFILE /ogg/capt.dsc, PURGE
-- Do not encrypt this trail.
EXTTRAIL /ogg/dirdat/bb
TABLE SALES.*;
-- Encrypt this trail with AES-192.
ENCRYPTTRAIL AES192 KEYNAME mykey1 --加密trail,命名為mykey1
EXTTRAIL /ogg/dirdat/aa
TABLE FIN.*;
Datapump1引數檔案
EXTRACT 1pump
USERID ogg, PASSWORD AACAAAAAAAAAAAJAUEUGODSCVGJEEIUGKJDJTFNDKEJFFFTC, &
AES128 KEYNAME mykey1
DISCARDFILE /ogg/1pmp.dsc, PURGE
-- Decrypt the trail this pump reads. Use encryption key mykey1.
DECRYPTTRAIL AES192 KEYNAME mykey1--解密trail
-- Encrypt the trail this pump writes to, using AES-192.
RMTHOST myhost1, MGRPORT 7809
ENCRYPTTRAIL AES192 KEYNAME mykey2 --加密remote trail,命名為mykey2
RMTTRAIL /ogg/dirdat/cc
TABLE FIN.*;
Datapump2引數檔案
EXTRACT 2pump
USERID ogg, PASSWORD AACAAAAAAAAAAAJAUEUGODSCVGJEEIUGKJDJTFNDKEJFFFTC, &
AES128 KEYNAME mykey1
DISCARDFILE /ogg/2pmp.dsc, PURGE
RMTHOST myhost2, MGRPORT 7809
RMTTRAIL /ogg/dirdat/dd
TABLE SALES.*;
Replicat1引數檔案
REPLICAT 1deliv
USERID ogg, PASSWORD AACAAAAAAAAAAAJAUEUGODSCVGJEEIUGKJDJTFNDKEJFFFTC, &
AES128 KEYNAME mykey2
ASSUMETARGETDEFS
DISCARDFILE /ogg/1deliv.dsc, PURGE
-- Decrypt the trail this Replicat reads. Use encryption key mykey2.
DECRYPTTRAIL AES192 KEYNAME mykey2
MAP FIN.*, TARGET FIN.*;
Replicat2引數檔案
REPLICAT 2deliv
USERID ogg, PASSWORD AACAAAAAAAAAAAJAUEUGODSCVGJEEIUGKJDJTFNDKEJFFFTC, &
AES128 KEYNAME mykey2
ASSUMETARGETDEFS
DISCARDFILE /ogg/2deliv.dsc, PURGE
MAP SALES.*, TARGET SALES.*;
加密資料庫密碼
ENCRYPT PASSWORD
--密碼不能加引號,可選密碼演算法為AES128/192/256以及BLOWFISH
加密後在引數檔案引用格式如下
USERID
加密資料傳輸
在source端加密,然後target解密並寫入trail
建立ENCKEYS檔案,將其複製到所有target的OGG安裝目錄;source/target的ENCKYES檔名稱/值必須相同,否則會出現錯誤
GGS error 118 – TCP/IP Server with invalid data.
RMTHOST
RMTHOSTOPTIONS ENCRYPT
如果使用了靜態collector,在其啟動字串新增
-KEYNAME
-ENCRYPT
建立ENCKEYS檔案
前面所述的加密行為都需要生成ENCKEYS查詢檔案,以下兩種情況例外
1 encrypt password使用encryptkey default(使用BLOWFISH加密) 2 encrypttrail不使用任何選項
每個keyname鍵值對都要儲存並且複製到target的OGG安裝目錄
格式如下
## Key name Key value
superkey 0x420E61BE7002D63560929CCA17A4E1FB
secretkey 0x027742185BBF232D7C664A5E1A76B040
許可權控制
需要建立CMDSEC檔案,否則所有使用者均可執行任何命令
格式如下
STATUS * dpt1 * YES—所有dpt1組的使用者均可使用status命令檢視任何object
START REPLICAT root * YES—只有 root組使用者可以啟動replicat程式
因為CMDSEC檔案及其重要,建議除了OGG使用者其他只能讀
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/15480802/viewspace-761982/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Elasticsearch 許可權控制Elasticsearch
- 小知識:軟體開發的許可權控制和許可權驗證
- 如何用 Vue 實現前端許可權控制(路由許可權 + 檢視許可權 + 請求許可權)Vue前端路由
- Linux許可權控制Linux
- Appfuse:許可權控制APP
- 一對一原始碼,前端頁面許可權和按鈕許可權控制原始碼前端
- elasticsearch7.8許可權控制和規劃Elasticsearch
- 資料分析的許可權控制
- Solaris下控制ftp的許可權FTP
- linux 檔案許可權 s 許可權和 t 許可權解析Linux
- Laravel實現許可權控制Laravel
- mysql 許可權控制筆記MySql筆記
- oracle列級許可權控制Oracle
- .NET 程式許可權控制、獲得管理員許可權程式碼
- Android系統許可權和root許可權Android
- 打造自己的系統許可權控制
- 許可權控制下的SQL寫法SQL
- Oracle的物件許可權、角色許可權、系統許可權Oracle物件
- Linux的檔案存取許可權和0644許可權Linux
- HIVE的許可權控制和超級管理員的實現Hive
- 許可權控制及AOP日誌
- Java 訪問許可權控制(6)Java訪問許可權
- vue-router控制路由許可權Vue路由
- 下載許可權控制機制
- 資料安全之許可權控制
- k8s結合jumpserver做kubectl許可權控制 使用者在多個namespaces的訪問許可權 rbac許可權控制K8SServernamespace訪問許可權
- 淺談 Orbeon form builder 的許可權控制ORBORMUI
- CRM Transaction處理中的許可權控制
- asp.net 2.0 許可權樹的控制ASP.NET
- 對定義者許可權和呼叫者許可權的理解
- AIX 的許可許可權(轉)AI
- MYSQL學習筆記13: DCL許可權控制(使用者許可權操作)MySql筆記
- 使用nginx控制ElasticSearch訪問許可權NginxElasticsearch訪問許可權
- Atlas 2.1.0 實踐(4)—— 許可權控制
- Think IN JAVA --------JAVA訪問許可權控制Java訪問許可權
- 降魔篇之springmvc許可權控制SpringMVC
- 舉例如何控制查詢許可權
- ORACLE FGAC(細粒度許可權控制)(轉)Oracle