乾貨分享 GBase 8s使用者與許可權管理揭祕

GBASE南大通用發表於2021-11-17

資料庫系統中資料存取許可權的有效控制,是系統安全性的根本保證,包括資料物件和操作型別兩方面。從資訊角度來說就是為了保證資訊自身的安全,資料庫管理系統要能夠防止資訊的丟失和被內外部破壞。為達到這一目的,資料庫管理員需要為每個使用者賦予不同的許可權,在滿足不同使用者的需求的前提下,對其能力加以限制,從而避免賬戶洩露、許可權濫用等導致的資料安全問題。作為廣泛應用於金融、電信等超大規模領域的 GBase 8s ,是如何為不同使用者進行許可權管理的呢?本篇文章將從“使用者管理、許可權管理”兩個方面為您揭開它的神祕面紗。

概述

GBase 8s 的使用者管理,與其它關係型資料庫稍有不同,主要表現在:

GBase 8s 支援使用作業系統的使用者,訪問資料庫。作業系統的使用者在授權後,可以直接訪問 GBase 8s 資料庫,其它的關係型資料庫,通常使用資料庫的內建使用者訪問資料庫中的資料,不支援使用作業系統使用者直接訪問資料庫中資料。

GBase 8s 支援建立和使用資料庫內部使用者,訪問資料庫中的資料。這一特性在資料庫安裝後預設是關閉的,需要資料庫管理員修改引數,開啟這一特性。

GBase 8s 使用庫級許可權和表級許可權管理使用者對資料的訪問。

庫級許可權為: CONNECT RESOURCE DBA 。只有獲取庫級許可權,才可以連線到資料庫。

表級許可權為: SELECT INSERT UPDATE DELETE INDEX ALTER REFERENCE ALL

GBase 8s 的內部有一個內建的 public 組,內部使用者對資料庫的訪問許可權為 public 組標準許可權加上內部使用者的專有許可權, public 組預設對錶有查詢,新增,更新,刪除,索引許可權。資料庫管理員可以根據需要,修改 public 的標準許可權。

1.  使用者管理

GBase 8s 的使用者分為:

作業系統使用者

GBase 8s 可以使用作業系統的一個使用者,在授權後訪問資料庫。

內部使用者

1 、使用資料庫內部一個使用者進行訪問。

2 、內部使用者需要使用一個作業系統使用者做為代理。

3 、可以建立一個預設使用者,簡化使用者的建立。

GBase 8s 的使用者體系圖:

 

作業系統使用者

建立作業系統使用者

下面資訊以 CentOS 7 為例,說明了作業系統使用者的建立和刪除語法。

語法:

 

示例:

 

CentOS 7 中,可以簡寫為:

 

說明:建立後的作業系統使用者,不能立即訪問 GBase 8s 中的資料,需要在授權後,才可以連線資料庫,並訪問資料庫中的資料。使用者的授權,請參考下面的許可權管理。

刪除作業系統使用者

語法:

 

示例:

 

內部使用者

GBase 8s 的內部使用者預設為不允許使用。如果需要使用 GBase 8s 的內部使用者,需要修改相應引數配置,並使之生效。

配置引數

配置 onconfig 中的 USERMAPPING 引數,允許使用內部使用者訪問 GBase 8s ,當該引數為 OFF 時,不允許使用內部使用者訪問 GBase 8s

 

配置作業系統代理使用者

GBase 8s 代理使用者的配置檔案,一般儲存在 /etc/gbasedbt/allowed.surrogates 中。

在該配置檔案中,可以配置代理的使用者和組。多個使用者和組資訊,可以用逗號分隔。使用者配置資訊以 users 關鍵字和冒號開頭,組配置資訊以 groups 關鍵字和冒號開頭。

代理使用者配置示例如下:

 

修改後的配置資訊不會立即生效,需要資料庫管理員更新配置資訊,可以通過重啟資料庫更新資訊。

注:一定要提前建立好代理使用者,且在修改該配置引數後,一定要更新資料庫的代理使用者快取資訊。

經過上面的配置後, GBase 8s 可以建立和使用資料庫的內部使用者,訪問資料庫中的資料了。

建立預設內部使用者

可以建立一個預設使用者,做為其它內部使用者的模板。

語法:

 

示例:

 

建立預設使用者後, GBase 8s 會建立一個名為 public 的內部組。

建立內部使用者(以預設使用者屬性為模板)

語法:

 

示例:

 

建立內部使用者(獨立屬性)

語法:

 

示例:

 

2.  許可權管理

許可權分類

GBase 8s 的許可權分為資料庫許可權和表許可權。

資料庫許可權

表許可權

為使用者授予許可權

語法:

 

示例:

 

通過“使用者管理、許可權管理”兩個方面的加強, GBase 8s 構建了強大的安全機制,有效地保障了庫中的資料資訊保安,為我國金融、電信等行業的資料資訊保安提供中國力量!


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69979120/viewspace-2842589/,如需轉載,請註明出處,否則將追究法律責任。

相關文章