金仓数据库KingbaseES来源限制介绍

关键字：

KingbaseES、来源限制、安全特性、人大金仓

什么是来源限制？

来源限制是由数据库管理员对要登录数据库的用户及IP进行设置，对于处于黑名单中的用户及IP，数据库将不允许登录。这里黑名单的优先级较高。

KingbaseES通过插件的方式来进行来源限制。这种方式更为灵活，当数据库的实用场景需要进行来源限制时，加载插件即可。而不需要该功能时，卸载插件即可。该插件默认加载。 KingbaseES中通过 1 个全局级参数配合插件来实现用户来源限制管理。该插件功能默认开启

来源限制函数

1. 添加来源限制的规则，可通过参数选择配置白名单或黑名单
   src_restrict.add_rules(filter_type int, rule_user text, rule_ip text, outrule_ip text)
   filter_type --- 限制规则的类型，0为白名单，1为黑名单。
   rule_user --- 限制的用户名，多个用户时需使用逗号分隔，null表示限制所有用户。当用户名中存在特殊字符时，请将该用户名使用双引号括起来，避免用户名识别失败。用户名参数最大长度255。
   rule_ip --- 限制的IP，多个IP之间需使用逗号分隔，null表示限制所有IP。
   outrule_ip --- 不受限制的IP，与rule_ip相同。
2. 删除来源限制规则
   src_restrict.remove_rules(filter_type int, rule_user text, rule_ip text)

来源限制的使用

1. 加载插件

kingbase.conf 文件中 shared_preload_libraries = 'src_restrict'

2. 设置开关

alter system set src_restrict.enable= on;

3. 通过系统函数添加来源限制的规则，可通过参数选择配置白名单或黑名单

a) 添加来源限制的规则，可通过参数选择配置白名单或黑名单

src_restrict.add_rules(filter_type int, rule_user text, rule_ip text, outrule_ip text)

b) 删除来源限制的规则

src_restrict.remove_rules(filter_type int,rule_user text,rule_ip text)

1. 查看当前的限制规则

select * from src_restrict.show_rules;