HGDB 数据库安全策略

脑子进水养啥鱼
169 阅读4分钟

持续创作,加速成长!这是我参与「掘金日新计划 · 6 月更文挑战」的第11天,点击查看活动详情

安全版

syssso用户连接设置

--查询参数
highgo=# select name,setting from pg_settings where name like 'pass%';
        name         | setting
---------------------+---------
 password_encryption | sm3

highgo=> select show_secure_param();
show_secure_param
hg_sepofpowers = on,                  +
hg_macontrol = on,                    +
hg_rowsecure = on,                    +
hg_showlogininfo = on,                +
hg_clientnoinput = 30 min(s),         +
hg_idcheck.enable = on,               +
hg_idcheck.pwdlock = 5 time(s),       +
hg_idcheck.pwdlocktime = 24 hour(s),  +
hg_idcheck.pwdvaliduntil = 30 day(s), +
hg_idcheck.pwdpolicy = low,           +
hg_sepv4 = v4,                        +

--设置参数
select set_secure_param('hg_idcheck.pwdvaliduntil','0');  --设置为密码有效期不限制

password_encryption:密码加密方式 sm3。
hg_sepofpowers:三权分立功能开关,默认 on,开启三权功能;off 为关闭三权分立,关闭后即无安全功能。参数值重启生效。
hg_macontrol:强制访问控制功能开关,默认 on,开启强制访问控制;参数值为 min,表示强访功能最小化,即只有自主访问控制功能。参数值重启生效。
hg_rowsecure:行级强制访问功能开关。该参数只在 hg_macontrol 为 on 时生效。参数值为 on|off, on 为开启行级访问控制, off 为关闭行级访问控制,开启表级访问控制。默认为 off。参数值重启生效。
hg_showlogininfo:登入信息显示开关。管理工具和psql 客户端,参数值为 on|off, on 为开启功能, off 为关闭功能,默认on。参数值动态生效。
hg_clientnoinput:session 不活动无操作自动断开的时间(有事务运行则不会断开)。参数范围值为 0-1440 分钟;默认 30 分钟,设置为 0 则不限制。参数值重启生效。
hg_idcheck.enable:该参数相当于其他子参数的总开关。默认值为 on,开启身份鉴别,其他子参数以默认值显示;off 为关闭身份鉴别,所有身份鉴别相关参数均不生效。参数值重启生效。
hg_idcheck.pwdlock:密码连续输入错误多少次后账户被锁,默认 5 次。参数范围值为 0-10次,设置为 0 表示不限制密码错误次数,重启后密码连续错误次数重新计算。参数值动态(不重启)生效。
hg_idcheck.pwdlocktime:密码连续错误次数超限被锁定的时间,默认 24 小时,参数范围值为 0-240 小时。设置为 0 则表示一直被锁定,但可以通过 syssso 解锁。参数值动态(不重启)生效。
hg_idcheck.pwdvaliduntil:参数功能为密码有效期,参数范围值为 0-365 天,默认 7 天,设置值为 0 表示不限制天数。参数值动态(不重启)生效。
hg_idcheck.pwdpolicy:参数有 low、 medium、 high、 highest 四个参数值,设置为 low 时表示密码不受限制;设置为 medium 表示密码长度至少为 8 位,必须包含字母和数字;设置为 high 表示密码长度至少为8 位,必须包含字母、数字和特殊字符。 highest,包含常用密码、保留字、关键字等所有密码规则。默认为highest 参数值动态(不重启)生效。
hg_sepv4:该选项的值可以为 v4 或者 v45。默认值为 v4,表示三权分立为 V4 版本。可设置为 v45,表示三权分立的版本为 V45 版本。当 hg_sepofpowers 为 on 时,此选项才会生效。
改变此选项的值后需要重启数据库生效。注:该参数在 HGDB-SEE V4.5.5 及以后的版本中支持。

企业版

--查询参数
highgo=# select name,setting from pg_settings where name like 'pass%';
        name         | setting
---------------------+---------
 password_encryption | md5
 passworddictionary  | on
 passwordhistory     | on
 passwordlength      | on
 passwordlock        | on
 passwordstrength    | on
 passwordvaliduntil  | on

highgo=# select show_secure_param();
           show_secure_param
---------------------------------------
 hg_idcheck.pwdlock = 5 time(s),      +
 hg_idcheck.pwdlocktime = 24 hour(s), +
 hg_idcheck.pwdvaliduntil = 7 day(s), +

--设置参数
alter system set passwordhistory = 'off'; --重启库生效
select set_secure_param('hg_idcheck.pwdlocktime','12h');

password_encryption:密码加密方式 md5。
passworddictionary:废弃参数。
passwordhistory:不能使用前五次使用过的密码,默认开启。
passwordlength:最短长度8位,最长长度1024位,默认开启。
passwordlock:输入密码达到一定次数,锁定用户,默认开启。
passwordstrength:须同时含有数字、大小写字母和特殊字符,特殊字符包括“!@#$%^&()”。不能使用包含瀚高数据库关键字和当前用户名的密码,以及其他被数据库系统认定为过于简单的密码。
passwordvaliduntil:新建用户带有有效期限,默认开启。
hg_idcheck.pwdlock:可以输错密码的次数,当密码输错次数超过此限定值时用户会被锁定,须通过管理员用户调用user_unlock(‘username’)进行解锁。默认值为5。取值范围0到10。开关参数 Passwordlock。
hg_idcheck.pwdlocktime:密码锁定后自动解锁需要经过的时间,单位为Dd/Hh/Mm/Ss(天/小时/分钟/秒),默认值为24hours。
hg_idcheck.pwdvaliduntil:当创建用户或修改用户密码且缺省valid until时密码经过多长时间后过期,单位天,默认值7,取值范围0~365。开关参数 Passwordvaliduntil。

avatar
文章
阅读
粉丝