如何查看当前数据库的安全策略
Posted 瀚高PG实验室
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何查看当前数据库的安全策略相关的知识,希望对你有一定的参考价值。
目录
文档用途
详细信息
相关文档
本文旨在介绍查看当前数据库的安全策略的方法。
详细信息
使用psql命令或客户端工具,通过管理员用户(企业版V6:默认highgo。安全版:syssso)连接数据库执行select show_secure_param();即可查看当前数据库的安全策略。
企业版数据库V6:
psql -d highgo -U highgo
highgo=# select show_secure_param();
show_secure_param
---------------------------------------
hg_idcheck.pwdlock = 5 time(s), +
hg_idcheck.pwdlocktime = 24 hour(s), +
hg_idcheck.pwdvaliduntil = 7 day(s), +
安全版数据库V4.5:
psql -d highgo -U syssso
highgo=> select show_secure_param();
show_secure_param
-----------------------------------------
hg_sepofpowers = on, +
hg_macontrol = on, +
hg_rowsecure = on, +
hg_showlogininfo = on, +
hg_clientnoinput = 30 min(s), +
hg_idcheck.enable = on, +
hg_idcheck.pwdlock = 5 time(s), +
hg_idcheck.pwdlocktime = 24 hour(s), +
hg_idcheck.pwdvaliduntil = 10 day(s), +
hg_idcheck.pwdpolicy = highest, +
安全版数据库V4:
psql -d highgo -U syssso
highgo=> select show_secure_param();
show_secure_param
-----------------------------
Secure level = on, +
hg_SepOfPowers = on, +
hg_MAControl = on, +
hg_RowSecure = on, +
hg_PwdValidUntil = 350, +
hg_PwdErrorLock = 5, +
hg_ShowLoginInfo = on, +
hg_ClientNoInput = 30 min, +
hg_PwdRule = on, +
参数介绍:
企业版数据库V6:
安全策略参数包括hg_idcheck.pwdlock、hg_idcheck.pwdlocktime 和hg_idcheck.pwdvaliduntil。通过调用sql函数show_secure_param()可查看当前安全策略参数的配置值。
sql函数set_secure_param()可设定某一配置,例如selcet set_secure_param(‘hg_idcheck.pwdlock’,‘3’)可将hg_idcheck.pwdlock的值设为3。另外,只有管理员用户才有权限查看和设置安全策略参数。
参数名称及其对应功能如下:
hg_idcheck.pwdlock:可以输错密码的次数,当密码输错次数超过此限定值时用户会被锁定,须通过管理员用户调用user_unlock(‘username’)进行解锁。默认值为5。取值范围0~10。开关参数Passwordlock。
hg_idcheck.pwdlocktime:密码锁定后自动解锁需要经过的时间,单位为Dd/Hh/Mm/Ss(天/小时/分钟/秒),默认值为24hours。
hg_idcheck.pwdvaliduntil:当创建用户或修改用户密码且缺省validuntil时密码经过多长时间后过期,单位天,默认值7,取值范围0~365。开关参数Passwordvaliduntil。
安全版数据库V4.5:
安全参数的显示:
登录syssso用户,执行select show_secure_param(); 可以显示所有的安全参数。
安全参数的设置:
登录syssso用户,执行select set_secure_param(‘参数名’,‘参数值’);来设置某个安全参数的值。
注:参数名和参数值都需要用西文单引号包括。
例如:select set_secure_param(‘hg_showlogininfo’,‘off’);
则会关闭登录信息的显示。
有些安全参数还拥有子参数,这时在安全参数和子参数之间加一个.即可例如:select set_secure_param(‘hg_idcheck.pwdlocktime’,‘3’);
有些安全参数是即时生效,有些安全参数是重启数据库后生效。例如设置hg_clientnoinput参数后,需要重启才能生效。
每个参数的说明如下:
hg_idcheck.子参数名:
enable:该参数相当于以下四个子参数的总开关。默认值为on,开启身份鉴别,其他子参数以默认值显示;off为关闭身份鉴别,所有身份鉴别相关参数均不生效。参数值重启生效。
pwdlock:密码连续输入错误多少次后账户被锁,默认5次。参数范围值为0-10次,设置为0表示不限制密码错误次数,重启后密码连续错误次数重新计算。参数值动态(不重启)生效。
pwdlocktime:密码连续错误次数超限被锁定的时间,默认24小时,参数范围值为0-240小时。设置为0则表示一直被锁定,但可以通过syssso解锁。参数值动态(不重启)生效。
pwdvaliduntil:参数功能为密码有效期,参数范围值为0-365天,默认7天,设置值为0表示不限制天数。参数值动态(不重启)生效。
pwdpolicy:参数有low、medium、high、highest四个参数值,设置为low时表示密码不受限制,与原生PG保持一致;设置为medium表示密码长度至少为8位,必须包含字母和数字;设置为high表示密码长度至少为8位,必须包含字母、数字和特殊字符。highest,包含常用密码、保留字、关键字等所有密码规则。默认为highest参数值动态(不重启)生效。
hg_sepofpowers:三权分立开关,默认on,off为关闭三权分立,关闭后即无安全功能。参数值重启生效。
hg_macontrol:默认on,开启强制访问控制;参数值为min,表示强访功能最小化,即只有自主访问控制功能。参数值重启生效。
hg_rowsecure:用来开关行级强制访问控制,该参数只在hg_macontrol为on时生效。参数值为on|off,on为开启行级访问控制,off为关闭行级访问控制,开启表级访问控制。默认为off。参数值重启生效。
hg_showlogininfo:参数功能为显示登入信息(管理工具和psql客户端,参数值为on|off,on为开启功能,off为关闭功能,默认on。参数值动态生效。
hg_clientnoinput:参数表示session不活动无操作自动断开的时间(有事务运行则不会断开),参数范围值为0-1440分钟;默认30分钟,设置为0则不限制。参数值重启生效。
安全版数据库V4:
安全管理员可以通过select show_secure_param();来随时查看当前的安全策略。每个参数的说明如下:
hg_SepOfPowers,三权分立开关。
hg_MAControl,强制访问控制开关。
hg_RowSecure,行安全开关。
hg_PwdValidUntil,密码有效期设置参数。
hg_PwdErrorLock,密码错误次数设置参数。
hg_ShowLoginInfo,用户登录信息开关。
hg_ClientNoInput,超时断开设置参数。
hg_PwdRule,密码复杂度开关。
安全管理员可以通过,select set_secure_param(‘parm’, ‘value’);进行设置,第一个参数是要配置的参数名称,后边是要设置的值,两个参数全部都是字符串类型。
以上是关于如何查看当前数据库的安全策略的主要内容,如果未能解决你的问题,请参考以下文章