网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts盘古助手
华为云Astro大屏应用
计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
云手机服务器 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器(旧版)
VR云渲游平台 CVR
Huawei Cloud EulerOS
云化数据中心 CloudDC
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘平台 IEF
CloudPond云服务
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
湖仓构建 LakeFormation
智能数据洞察 DataArts Insight
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
开天aPaaS
应用平台 AppStage
开天企业工作台 MSSE
开天集成工作台 MSSI
API中心 API Hub
云消息服务 KooMessage
交换数据空间 EDS
云地图服务 KooMap
云手机服务 KooPhone
组织成员账号 OrgID
云空间服务 KooDrive
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
区块链
区块链服务 BCS
数字资产链 DAC
华为云区块链引擎服务 HBS
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
价格
成本优化最佳实践
专属云商业逻辑
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
其他
管理控制台
消息中心
产品价格详情
系统权限
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
云服务信任体系能力说明
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts盘古助手
华为云Astro大屏应用
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
云存储网关 CSG
专属分布式存储服务 DSS
数据工坊 DWR
地图数据 MapDS
键值存储服务 KVS
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
云原生服务中心 OSC
应用服务网格 ASM
华为云UCS
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB
云数据库 GeminiDB
数据管理服务 DAS
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
语音交互服务 SIS
人证核身服务 IVS
视频智能分析服务 VIAS
城市智能体
自动驾驶云服务 Octopus
盘古大模型 PanguLargeModels
IoT物联网
设备接入 IoTDA
全球SIM联接 GSL
IoT数据分析 IoTA
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
企业应用
域名注册服务 Domains
云解析服务 DNS
企业门户 EWP
ICP备案
商标注册
华为云WeLink
华为云会议 Meeting
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMA Exchange
API全生命周期管理 ROMA API
政企自服务管理 ESM
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
数字内容生产线 MetaStudio
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
专属云
专属计算集群 DCC
开发者工具
SDK开发指南
API签名指南
DevStar
华为云命令行工具服务 KooCLI
Huawei Cloud Toolkit
CodeArts API
云化转型
云架构中心
云采用框架
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
我的凭证
华为云公共事业服务云平台
工业软件
工业数字模型驱动引擎
硬件开发工具链平台云服务
工业数据转换引擎云服务

安全和认证

更新时间:2024-12-03 GMT+08:00
分享

介绍设置客户端和服务器的安全认证方式的相关参数。

authentication_timeout

参数说明:完成客户端认证的最长时间。如果一个客户端没有在这段时间里完成与服务器端的认证,则服务器自动中断与客户端的连接,这样就避免了出问题的客户端无限制地占用连接数。

参数类型:整型

参数单位:秒(s)

取值范围:1 ~ 600

默认值:60

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。例如,不带单位取值600,表示authentication_timeout为600s;带单位取值10min,表示authentication_timeout为10min。取值如果要带单位,必须为s、min、h、d。

设置建议:推荐使用默认值。

设置不当的风险与影响:参数设置过小,可能会导致频繁遇到连接失败,影响用户使用。参数设置过大,会导致安全风险增加、资源浪费等问题。

auth_iteration_count

参数说明:认证加密信息生成过程中使用的迭代次数。

参数类型:整型

参数单位:

取值范围:2048 ~ 134217728

默认值:10000

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:请根据实际硬件条件合理设置迭代次数,推荐采用默认迭代次数。

设置不当的风险与影响:迭代次数设置过小会降低口令存储的安全性,设置过大会导致认证、用户创建等涉及口令加密的场景性能劣化。

session_authorization

参数说明:当前会话的用户标识。该参数的取值只能通过SHOW语句进行查询。

参数类型:字符串

参数单位:

取值范围:合法的用户标识。

默认值:""

设置方式:该参数属于USERSET类型参数,只能通过《开发指南》中“SQL参考 > SQL语法 > SET SESSION AUTHORIZATION”章节语法设置,不支持直接设置。

设置建议:推荐使用默认值。

设置不当的风险与影响:请在充分理解参数含义,并经过测试验证后进行修改,避免出现意料之外的结果。

session_timeout

参数说明:表明与服务器建立连接后,不进行任何操作的最长时间。当该参数取值不为0,用户不进行任何操作的时间超过该参数取值后,会与服务器断开连接。

参数类型:整型

参数单位:秒(s)

取值范围:0 ~ 86400(1d)

  • 0表示关闭超时设置。
  • 正数表示与服务器建立连接后,不进行任何操作的最长时间。当超过设定的值后,会与服务器断开连接。

默认值:600

设置方式:该参数属于USERSET类型参数,请参见表1中对应设置方法进行设置。例如,不带单位取值600,表示session_timeout为600s;带单位取值10min,表示session_timeout为10min。取值如果要带单位,必须为s、min、h、d。

设置建议:参数值设置越小越安全,但用户使用越不便,依据业务安全诉求设定。

设置不当的风险与影响:设置过小可能造成业务连接池中长连接失效,进而导致业务失败。

说明:

GaussDB gsql客户端中有自动重连机制,所以针对初始化用户本地连接,超时后gsql表现的现象为断开后重连。

idle_in_transaction_timeout

参数说明:表明与服务器建立连接并开启事务后,事务空闲并不进行任何操作的最长时间。当该参数取值不为0,事务空闲并不进行任何操作的时间超过该参数取值后,会与服务器断开连接。

参数类型:整型

参数单位:秒(s)

取值范围:0 ~ 86400(1d)

  • 0表示关闭超时设置。
  • 正数表示与服务器建立连接并开启事务后,事务空闲并不进行任何操作的最长时间。当超过设定的值后,会与服务器断开连接。

默认值:300(即5min)

设置方式:该参数属于USERSET类型参数,请参见表1中对应设置方法进行设置。例如,不带单位取值600,表示idle_in_transaction_timeout为600s;带单位取值10min,表示idle_in_transaction_timeout为10min。取值如果要带单位,必须为s、min、h、d。

设置建议:参数值设置越小越安全,但用户使用越不便,依据业务安全诉求设定。

设置不当的风险与影响:参数设置过小,可能会使得事务开启后,客户端应用在运行过程中没有及时发送新的请求,从而导致会话超时退出,影响用户使用。

说明:
  • GaussDB gsql客户端中有自动重连机制,所以针对初始化用户本地连接,超时后gsql表现的现象为断开后重连。
  • idle_in_transaction_timeout与session_timeout同时开启时,在事务空闲状态下都会生效,以配置较小的超时时间为准。
  • 新下发实例该参数取值为300,升级实例默认为0。
  • 空闲事务超时后,日志中会打印事务的开始时间、线程id、应用名以及query等信息。该日志用于空闲事务超时退出问题定位,不包含前缀格式log_line_prefix

ssl

参数说明:设置服务端是否开启SSL连接。请在使用这个选项之前阅读通过gsql连接实例章节。

参数类型:布尔型

参数单位:

取值范围:

  • on:表示服务端开启SSL连接,实际通信过程中是否为SSL加密传输由客户端配置决定。
  • off:表示服务端关闭SSL连接。

默认值:on(CN实例);off(DN实例)

设置方式:该参数属于POSTMASTER类型参数,请参见表1中对应设置方法进行设置。

设置建议:对安全性要求高,建议开启,对性能要求高,建议关闭。GaussDB目前支持SSL的场景为客户端连接CN场景,该参数目前建议只在CN中开启,DN默认值为off。

设置不当的风险与影响:开启此参数需要同时确保ssl_cert_filessl_key_filessl_ca_file参数配置正确,如果使用国密认证,还需要确保ssl_enc_cert_filessl_enc_key_file参数配置正确,不正确的配置可能会导致集群无法正常启动。

comm_ssl

参数说明:设置是否启用主DN之间的SSL连接。请在使用这个选项之前阅读通过gsql连接实例章节。

参数类型:布尔型

参数单位:

取值范围:

  • on:表示主DN之间启用SSL连接。
  • off:表示主DN之间不启用SSL连接。

默认值:off

设置方式:该参数属于POSTMASTER类型参数,请参见表1中对应设置方法进行设置。

设置建议:该参数目前建议只在DN中开启,CN默认值为off。

设置不当的风险与影响:开启此参数需要同时确保ssl_cert_filessl_key_filessl_ca_file参数配置正确,不正确的配置可能会导致集群无法正常启动。

require_ssl

参数说明:设置服务端是否强制要求SSL连接,该参数只有当参数ssl为on时才有效。请在使用这个选项之前阅读通过gsql连接实例章节。

参数类型:布尔型

参数单位:

取值范围:

  • on:表示服务器端强制要求SSL连接。
  • off:表示服务器端对是否通过SSL连接不作强制要求。

默认值:off

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:GaussDB目前支持SSL的场景为客户端连接CN场景,该参数目前建议只在CN中开启。

设置不当的风险与影响:在SSL相关参数配置有误的场景下,该参数打开可能导致通信建连失败,甚至导致集群启动失败。

ssl_ciphers

参数说明:指定SSL支持的加密算法列表,仅sysadmin用户可以访问。

参数类型:字符串

参数单位:

取值范围:字符串,如果指定多个加密算法,加密算法之间需要以分号(;)分隔。

默认值:"ALL",表示允许对端使用产品支持的所有加密算法,但不包含ADH、LOW、EXP、MD5算法。

设置方式:该参数属于POSTMASTER类型参数,请参见表1中对应设置方法进行设置。

设置建议:按照规范进行该参数值的设置,不建议指定不安全算法DHE-RSA-AES128-GCM-SHA256和DHE-RSA-AES256-GCM-SHA384。

设置不当的风险与影响:ssl_ciphers设置错误会导致数据库不能正常启动。

ssl_renegotiation_limit

参数说明:指定在会话密钥重新协商之前,通过SSL加密通道可以传输的流量。这个重新协商流量限制机制可以减少攻击者针对大量数据使用密码分析法破解密钥的几率,但是也带来较大的性能损失。流量是指发送和接受的流量总和。

参数类型:整型

参数单位:kB

取值范围:0 ~ 2147483647。其中0表示禁用重新协商机制。

默认值:0

设置方式:该参数属于USERSET类型参数,请参见表1中对应设置方法进行设置。例如,不带单位取值1024,表示ssl_renegotiation_limit为1024kB;带单位取值1MB,表示ssl_renegotiation_limit为1MB。取值如果要带单位,必须为kB、MB、GB。

设置建议:建议不做修改。使用SSL重协商机制可能引入其他风险,因此已禁用SSL重协商机制,为保持版本兼容保留此参数,修改参数配置不再起作用。

设置不当的风险与影响:修改该参数取值可能导致集群出现意料之外的结果,请保持默认值。

ssl_cert_file

参数说明:指定包含SSL服务器证书的文件的名称,其相对路径是相对于数据目录的。

参数类型:字符串

参数单位:

取值范围:合法文件名称,需要以“.crt”结尾。

默认值:"server.crt"

设置方式:该参数属于POSTMASTER类型参数,请参见表1中对应设置方法进行设置。

设置建议:配置文件路径时,需要确保其与其余SSL相关证书/私钥配置文件是配套关系。

设置不当的风险与影响:文件路径错误时,会导致客户端与数据库节点之间无法建立SSL连接,数据库集群节点之间无法进行SSL通信,数据存在泄漏风险

ssl_key_file

参数说明:指定包含SSL私钥的文件的名称,其相对路径是相对于数据目录的。

参数类型:字符串

参数单位:

取值范围:合法文件名称,需要以“.key”结尾。

默认值:"server.key"

设置方式:该参数属于POSTMASTER类型参数,请参见表1中对应设置方法进行设置。

设置建议:配置文件路径时,需要确保其与其余SSL相关证书/私钥配置文件是配套关系。

设置不当的风险与影响:文件路径错误时,会导致客户端与数据库节点之间无法建立SSL连接,数据库集群节点之间无法进行SSL通信,数据存在泄漏风险。

ssl_enc_cert_file

参数说明:指定包含SSL服务器国密加密证书的文件的名称,其相对路径是相对于数据目录的。

参数类型:字符串

参数单位:

取值范围:合法文件名称,需要以“.crt”结尾。

默认值:""

设置方式:该参数属于POSTMASTER类型参数,请参见表1中对应设置方法进行设置。

设置建议:配置文件路径时,需要确保其与其余国密SSL相关证书/私钥配置文件是配套关系。

设置不当的风险与影响:文件路径错误时,会导致客户端与数据库节点之间无法建立国密SSL连接,数据库集群节点之间无法进行国密SSL通信,数据存在泄漏风险

ssl_enc_key_file

参数说明:指定包含SSL服务器国密加密证书私钥的文件的名称,其相对路径是相对于数据目录的。

参数类型:字符串

参数单位:

取值范围:合法文件名称,需要以“.key”结尾。

默认值:""

设置方式:该参数属于POSTMASTER类型参数,请参见表1中对应设置方法进行设置。

设置建议:配置文件路径时,需要确保其与其余国密SSL相关证书/私钥配置文件是配套关系。

设置不当的风险与影响:文件路径错误时,会导致客户端与数据库节点之间无法建立国密SSL连接,数据库集群节点之间无法进行国密SSL通信,数据存在泄漏风险

ssl_ca_file

参数说明:指定包含CA信息的根证书名称,其相对路径是相对于数据目录的。

参数类型:字符串

参数单位:

取值范围:合法文件名称,需要以“.pem”结尾。其中空字符串表示没有CA文件被加载,不进行客户端证书验证。

默认值:"cacert.pem"

设置方式:该参数属于POSTMASTER类型参数,请参见表1中对应设置方法进行设置。

设置建议:需要进行客户端证书验证时,请正确配置文件路径。

设置不当的风险与影响:文件路径错误时,会导致数据库无法校验客户端证书,通信安全性降低。

ssl_crl_file

参数说明指定包含证书吊销列表的文件的名称,如果客户端证书在该列表中,则当前客户端证书被视为无效证书,其相对路径是相对于数据目录的。

参数类型:字符串

参数单位:

取值范围合法文件名称,空字符串表示没有吊销列表。

默认值""

设置方式:该参数属于POSTMASTER类型参数,请参见表1中对应设置方法进行设置。

设置建议:推荐使用默认值。

设置不当的风险与影响:若吊销列表中文件名称配置错误,可能导致无效的客户端证书可完成SSL建连,存在数据泄露风险;有效的客户端证书被视为已吊销,无法建立SSL连接。

enable_shared_sslctx

参数说明:是否开启SSL证书全局加载并共享SSL上下文,仅在SSL参数配置为on时生效。

参数类型:布尔型

参数单位:

取值范围:

  • on:表示开启SSL证书全局加载,仅在数据库启动时进行一次SSL上下文初始化动作。
  • off:表示关闭SSL证书全局加载,每次会话建连时均进行SSL上下文初始化动作。

默认值:off

设置方式:该参数属于POSTMASTER类型参数,请参见表1中对应设置方法进行设置。

设置建议:建议关闭;仅在对SSL非双向认证场景的性能要求极高时,建议开启

设置不当的风险与影响:SSL证书全局加载功能生效后,替换证书无法实时生效,需要重启数据库。

说明:

若数据库启动阶段,SSL全局上下文初始化失败,那么该参数会被自动置为off,降级为会话级SSL证书加载。

ssl_cert_notify_time

参数说明SSL服务器证书到期前提醒的天数。建立连接初始化ssl证书时,若当前时间距离证书到期时间小于设定值,则在日志中打印过期提醒。

参数类型:整型

参数单位:天(d)

取值范围7 ~ 180

默认值90

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。取值如果要带单位,必须为d。

设置建议:推荐使用默认值。

设置不当的风险与影响:参数设置过小,可能导致服务端证书过期没有被提前感知,导致无法及时更换证书;设置过大,可能导致频繁告警。

krb_server_keyfile

参数说明:指定Kerberos服务主配置文件的位置,仅sysadmin用户可以访问。

参数类型:字符串

参数单位:

取值范围:合法文件路径。

默认值:""

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:请参见《安全加固指南》中“数据库配置 > 安全认证设置 > 配置服务端内部Kerberos认证”进行配置。

设置不当的风险与影响:设置不当会导致集群间节点无法使用Kerberos认证功能。

krb_srvname

参数说明:设置Kerberos服务名。

参数类型:字符串

参数单位:

取值范围:字符串

默认值:"postgres"

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:推荐使用默认值。

设置不当的风险与影响:请在充分理解参数含义,并经过测试验证后进行修改,避免出现意料之外的结果。

krb_caseins_users

参数说明:设置Kerberos用户名是否大小写敏感。

参数类型:布尔型

参数单位:

取值范围:

  • on:表示大小写不敏感。
  • off:表示大小写敏感。

默认值:off

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:推荐使用默认值。

设置不当的风险与影响:请在充分理解参数含义,并经过测试验证后进行修改,避免出现意料之外的结果。

modify_initial_password

参数说明:GaussDB安装成功后,数据库中仅存在一个初始用户(UID为10的用户)。该参数控制的是,客户通过该账户初次登录数据库进行操作时,是否要对该初始账户的密码进行修改。

说明:

如果安装过程中未指定初始用户密码,则安装后初始用户密码默认为空,执行其他操作前需要先通过gsql客户端设置初始用户的密码。此参数功能不再生效,保留此参数仅为兼容升级场景。

参数类型:布尔型

参数单位:

取值范围:

  • on:表示集群安装成功后初始用户首次登录操作前需要修改初始密码。
  • off:表示集群安装成功后初始用户无需修改初始密码即可进行操作。

默认值:off

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:推荐使用默认值。

设置不当的风险与影响:请在充分理解参数含义,并经过测试验证后进行修改,避免出现意料之外的结果。

password_policy

参数说明:该参数控制的是,在使用CREATE ROLE/USER或者ALTER ROLE/USER命令创建或者修改GaussDB账户时,是否进行密码复杂度检查。

参数类型:整型

参数单位:

取值范围:0、1

  • 0:表示不采用密码复杂度校验策略。
  • 1:表示采用默认密码复杂度校验策略。

默认值:1

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:从安全性考虑,请勿关闭密码复杂度策略。

设置不当的风险与影响:请在充分理解参数含义,并经过测试验证后进行修改,避免出现意料之外的结果。

password_reuse_time

参数说明:该参数控制的是,在使用ALTER USER或者ALTER ROLE修改用户密码时,是否对新密码进行可重用天数检查。

说明:

修改密码时会检查配置参数password_reuse_timepassword_reuse_max

参数类型:浮点型

参数单位:天(d)

取值范围:0~3650

  • 0表示不检查密码可重用的天数。
  • 正数表示新密码不能为该值指定的天数内使用过的密码。

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:参数值设置越大越安全,但是在使用过程中会带来不便,依据业务安全诉求设定。

设置不当的风险与影响:请在充分理解参数含义,并经过测试验证后进行修改,避免出现意料之外的结果。

password_reuse_max

参数说明:该参数控制的是,在使用ALTER USER或者ALTER ROLE修改用户密码时,是否对新密码进行可重用次数检查,仅sysadmin用户可以访问。

说明:

修改密码时会检查配置参数password_reuse_timepassword_reuse_max

参数类型:整型

参数单位:

取值范围:0~1000

  • 0表示不检查密码可重用次数。
  • 正整数表示新密码不能为该值指定的次数内使用过的密码。

默认值:0

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:参数值设置越大越安全,但是在使用过程中会带来不便,请依据业务安全诉求进行设置。

设置不当的风险与影响:请在充分理解参数含义,并经过测试验证后进行修改,避免出现意料之外的结果。

password_lock_time

参数说明:该参数指定账户被锁定后自动解锁所需的时间。

说明:

只有当password_lock_time和failed_login_attempts的取值都为正数时,账户锁定和解锁功能才能生效。

参数类型:浮点型

参数单位:天(d)

取值范围:0~365。取值的整数部分表示天数,小数部分可以换算成时、分、秒,如:password_lock_time=1.5,表示1天零12小时。

  • 0表示密码验证失败时,自动锁定功能不生效。
  • 正数表示账户被锁定后,当锁定时间超过password_lock_time设定的值时,账户将会被自行解锁。

默认值:1

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。取值如果要带单位,必须为d。

设置建议:设置为默认值。自动解锁时间不宜设置过长,需要同failed_login_attempts参数设置保持在合理范围内。

设置不当的风险与影响:如果failed_login_attempts参数设置过小,自动解锁时间设置过长,会导致因误输入导致账号长时间无法使用,影响用户正常使用。

failed_login_attempts

参数说明:在任意时候,如果输入密码错误的次数达到failed_login_attempts参数所设定的值,则当前账户被锁定,在经过password_lock_time参数所设定的时间后才会被自动解锁,期间仅sysadmin用户可以访问。登录时输入密码失败、ALTER USER时修改密码失败等情形,都会被视作输入密码错误。

说明:

只有当failed_login_attempts和password_lock_time的取值都为正数时,账户锁定和解锁功能才能生效。

参数类型:整型

参数单位:

取值范围:0 ~ 1000。

  • 0表示自动锁定功能不生效。
  • 正整数表示当错误密码次数达到failed_login_attempts设定的值时,当前账户将被锁定。

默认值:10

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:建议设置为5~10。

设置不当的风险与影响:如果参数过大,密码错误次数输入过多(小于最大值1000)但不采取安全措施的话有安全风险,如果参数过小(大于0小于10)则可能会因为误输入导致账户被锁定影响正常使用。

enable_lock_account

参数说明:该参数控制账号使用错误密码连续登录失败达到参数failed_login_attempts所设定的值后,是否自动锁定账号。管理员手动锁定不受参数控制。

参数类型:布尔型

参数单位:

取值范围:

  • on:表示账号使用错误密码连续登录失败达到参数failed_login_attempts所设定的值后,自动锁定账号。
  • off:表示账号使用错误密码连续登录失败达到参数failed_login_attempts所设定的值后,不自动锁定账号。

默认值:on

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:从安全性考虑,请勿关闭自动锁定账号功能。

设置不当的风险与影响:设置为off会降低账号安全性。

password_encryption_type

参数说明:该参数决定采用何种加密方式对用户密码进行加密存储。修改此参数的配置不会自动触发已有用户密码加密方式的修改,只会对新创建用户的密码或已有用户修改的密码采用新的加密方式进行加密。

参数类型:整型

参数单位:

取值范围:0、1、2、3

  • 0:表示采用md5方式对密码加密。
  • 1:表示采用sha256和md5两种方式分别对密码加密。
  • 2:表示采用sha256方式对密码加密。
  • 3:表示采用sm3方式对密码加密。

默认值:2

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:推荐使用默认值。

设置不当的风险与影响:MD5加密算法安全性低,不建议使用,设置为0或1时存在安全风险。

password_min_length

参数说明:该参数决定账户密码的最小长度,仅sysadmin用户可以访问。

参数类型:整型

参数单位:

取值范围:6 ~ 999

默认值:8

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:根据实际业务需求配置,推荐使用默认值。

设置不当的风险与影响:设置长度超过password_max_length会导致账户无法正常创建。

password_max_length

参数说明:该参数决定账户密码的最大长度,仅sysadmin用户可以访问。

参数类型:整型

参数单位:

取值范围:6~999

默认值:32

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:根据实际业务需求配置,推荐使用默认值。

设置不当的风险与影响:设置长度小于password_min_length会导致账户无法正常创建。

password_min_uppercase

参数说明:该参数决定账户密码中至少需要包含的大写字母的个数,仅sysadmin用户可以访问。

参数类型:整型

参数单位:

取值范围:0 ~ 999

  • 0表示没有限制。
  • 1~999表示创建账户所指定的密码中至少需要包含的大写字母的个数。

默认值:0

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:根据实际业务需求配置,推荐使用默认值。

设置不当的风险与影响:设置长度超过password_max_length会导致账户无法正常创建。

password_min_lowercase

参数说明:该参数决定账户密码中至少需要包含的小写字母的个数,仅sysadmin用户可以访问。

参数类型:整型

参数单位:

取值范围:0 ~ 999

  • 0表示没有限制。
  • 1~999表示创建账户所指定的密码中至少需要包含的小写字母的个数。

默认值:0

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:根据实际业务需求配置,推荐使用默认值。

设置不当的风险与影响:设置长度超过password_max_length会导致账户无法正常创建。

password_min_digital

参数说明:该参数决定账户密码中至少需要包含的数字的个数,仅sysadmin用户可以访问。

参数类型:整型

参数单位:

取值范围:0 ~ 999

  • 0表示没有限制。
  • 1~999表示创建账户所指定的密码中至少需要包含的数字的个数。

默认值:0

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:根据实际业务需求配置,推荐使用默认值。

设置不当的风险与影响:设置长度超过password_max_length会导致账户无法正常创建。

password_min_special

参数说明:该参数决定账户密码中至少需要包含的特殊字符的个数,仅sysadmin用户可以访问。

参数类型:整型

参数单位:

取值范围:0 ~ 999

  • 0表示没有限制。
  • 1~999表示创建账户所指定的密码中至少需要包含的特殊字符的个数。

默认值:0

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:根据实际业务需求配置,推荐使用默认值。

设置不当的风险与影响:设置长度超过password_max_length会导致账户无法正常创建。

password_effect_time

参数说明:该参数决定账户密码的有效时间。

参数类型:浮点型

参数单位:天(d)

取值范围:0 ~ 999。整数部分表示天数,小数部分可以换算成时、分、秒,如:password_effect_time=0.5,表示0天零12小时。

  • 0表示不开启账户密码有效期限制功能。
  • 1~999表示创建账户所指定的密码有效期,临近或超过有效期时,系统会提示用户修改密码。

默认值:0

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:推荐配置用户密码的有效时间,参数设置越小越安全,但对用户使用带来不便,请依据业务安全诉求进行设置。

设置不当的风险与影响:设置为0时,密码长期不修改会存在安全风险。

password_notify_time

参数说明:该参数决定账户密码到期前提醒的天数。

参数类型:整型

参数单位:天(d)

取值范围:0 ~ 999

  • 0表示不开启提醒功能。
  • 1~999表示账户密码到期前提醒的天数。

默认值:7

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:推荐使用默认值。

设置不当的风险与影响:设置为0时,可能导致账户密码到期没有被提前感知。

enable_innertool_cert

参数说明:该参数决定内部工具是否使用证书认证。

参数类型:布尔型

参数单位:

取值范围:

  • on:表示内部工具使用证书认证。
  • off:表示内部工具不使用证书认证。
默认值:off
说明:
  • 此参数必须与参数ssl同时打开才能生效。
  • 此参数打开后,使用的证书默认配置的是$GAUSSHOME/share/sslcert/gsql目录下的证书,证书的Common Name必须与初始用户相同,否则认证失败。
  • 此参数打开后,初始用户使用证书认证,其他用户则需要使用密码方式认证。
  • 此参数打开后,允许初始用户使用证书认证方式远程连接数据库。

设置方式:该参数属于SIGHUP类型参数,请参见表1中对应设置方法进行设置。

设置建议:推荐使用默认值,如果用户对安全性要求比较高,建议打开参数,并正确配置相关证书。

设置不当的风险与影响:请在充分理解参数含义,并经过测试验证后进行修改,避免出现意料之外的结果。

提示

您即将访问非华为云网站,请注意账号财产安全

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容