2. 程式人生 > 其它 >KingbaseES V8R6 賬號異常登入鎖定案例

KingbaseES V8R6 賬號異常登入鎖定案例

阿新 發佈:2022-05-13

資料庫版本:

test=> select version();
                                                       version                                                    
    
-----------------------------------------------------------------------------------------------------------
 KingbaseES V008R006C005B0054 on x86_64-pc-linux-gnu, compiled by gcc (GCC) 4.1.2 20080704 (Red Hat 4.1.2-46), 64-bit
(1 row)

官方文件:https://help.kingbase.com.cn/stage-api/profile/document/kes/v8r6/html/safety/safety-guide/safety-identification.html#id9
帳戶異常登入鎖定
帳戶異常登入鎖定是指如果使用者連續若干次不能正確的登入資料庫,那麼這個使用者的帳戶將被系統禁用。系統允許的使用者連續錯誤登入次數由資料庫管理員指定。被禁用的帳戶可以由安全員利用 SQL 命令使其重新可用或者等待一段時間自動解鎖。
KingbaseES通過外掛的方式來進行帳戶異常登入鎖定以及賬戶登入資訊顯示。這種方式更為靈活,當資料庫的實用場景需要進行帳戶異常登入鎖定以及賬戶登入資訊顯示時,載入外掛即可。而不需要該功能時,解除安裝外掛即可。
外掛名為sys_audlog,相關引數由資料庫安全員負責配置。
3.3.1. 載入外掛


修改 kingbase.conf 檔案中 shared_preload_libraries 引數。

shared_preload_libraries = 'sys_audlog'
create extension sys_audlog;

3.3.2. 引數配置

  • sys_audlog.error_user_connect_times
    允許使用者連續登入失敗的最大次數,使用者登入失敗的次數大於超過該值,使用者自動鎖定,取值範圍為[0,INT_MAX],預設為 0。
    設定密碼連續最大失敗次數為 10。
\c test sso
ALTER SYSTEM SET sys_audlog.max_error_user_connect_times = 10;
CALL sys_reload_conf();
  • sys_audlog.max_error_user_connect_times
    使用者登入失敗次數的最大值界限,error_user_connect_times的最大取值,取值範圍為[0,INT_MAX],預設為 2147483647。
    設定密碼連續最大失敗次數為 6。
\c test sso
ALTER SYSTEM SET sys_audlog.error_user_connect_times = 6;
CALL sys_reload_conf();
  • sys_audlog.error_user_connect_interval
    使用者被鎖定時間,若使用者被鎖定的時間超過了該引數,則該使用者可自動解鎖。單位是分鐘,取值範圍為[0,INT_MAX],0時關閉自動解鎖功能,需手動解鎖,預設為 0。
    設定被封鎖使用者的自動解封時間為 1 小時。
\c test sso
ALTER SYSTEM SET sys_audlog.error_user_connect_interval = 60;
CALL sys_reload_conf();

3.3.3. 解除鎖定
超過時間間隔自動解除使用者封鎖。
使用者可由具有alter user許可權的使用者通過SQL語句進行手動解鎖,解鎖後用戶登入的資訊自動刪除。

\c test sso
alter user username with login;

Tip
1.超過時間間隔後自動解鎖使用者需要登入成功,若達到解鎖時間後重新登入且再次失敗,使用者會繼續鎖定。
2.登入時若不加-W時會自動進行一次不帶密碼的登入嘗試,因此會多增加一次失敗記錄,且在解鎖使用者時使用不加-W的方式登入,會導致再次被鎖定,因此在解鎖使用者時注意加-W引數進行登入嘗試。

測試案例:

1、配置kingbase.conf和sys_hba.conf

配置kingbase.conf:(載入extension)

[kingbase@node1 data]$ cat kingbase.conf |grep sys_audlog
shared_preload_libraries = 'liboracle_parser, synonym, plsql, force_view, kdb_flashback,plugin_debugger, plsql_plugin_debugger, plsql_plprofiler, ora_commands,kdb_ora_expr, sepapower, dblink, sys_kwr, sys_ksh, sys_spacequota, sys_stat_statements, backtrace, kdb_utils_function, auto_bmr, sys_squeeze,sys_audlog'

配置sys_hba.conf:

=預設,local(本地)登入,不對使用者身份進行認證,使用trust。=

# Allow replication connections from localhost, by a user with the
local   all             all                                     scram-sha-256

2、重新啟動資料庫後,sso使用者配置相關引數

[kingbase@node1 bin]$ ./ksql -U sso test -p 54322
ksql (V8.0)
Type "help" for help.

test=> show sys_audlog.error_user_connect_interval ;
 sys_audlog.error_user_connect_interval 
----------------------------------------
 0
(1 row)

test=> show sys_audlog.error_user_connect_times;  
 sys_audlog.error_user_connect_times 
-------------------------------------
 0
(1 row)

test=> alter system set sys_audlog.error_user_connect_times=5; 
ALTER SYSTEM

test=> alter system set sys_audlog.error_user_connect_interval =3;
ALTER SYSTEM

test=> select sys_reload_conf();
 sys_reload_conf 
-----------------
 t
(1 row)

test=> show sys_audlog.error_user_connect_times;
 sys_audlog.error_user_connect_times 
-------------------------------------
 5
(1 row)

test=> show sys_audlog.error_user_connect_interval;   
 sys_audlog.error_user_connect_interval 
----------------------------------------
 3
(1 row)

3、建立使用者測試

test=# create user tom with password 'tom';  
CREATE ROLE
test=# \du
                                   List of roles
 Role name |                         Attributes                         | Member of 
-----------+------------------------------------------------------------+-----------
 sao       | No inheritance                                             | {}
 sso       | No inheritance                                             | {}
 system    | Superuser, Create role, Create DB, Replication, Bypass RLS | {}
 tom       |                                                            | {}

4、使用者登入測試

[kingbase@node1 bin]$ ./ksql -U tom -W test -p 54322
Password: 
ksql: error: could not connect to server: FATAL:  password authentication failed for user "tom"
NOTICE:  This is the 1 login failed. There are 4 left.

[kingbase@node1 bin]$ ./ksql -U tom -W test -p 54322
Password: 
ksql: error: could not connect to server: FATAL:  password authentication failed for user "tom"
NOTICE:  This is the 2 login failed. There are 3 left.

[kingbase@node1 bin]$ ./ksql -U tom -W test -p 54322
Password: 
ksql: error: could not connect to server: FATAL:  password authentication failed for user "tom"
NOTICE:  This is the 3 login failed. There are 2 left.

[kingbase@node1 bin]$ ./ksql -U tom -W test -p 54322
Password: 
ksql: error: could not connect to server: FATAL:  password authentication failed for user "tom"
NOTICE:  This is the 4 login failed. There are 1 left.

[kingbase@node1 bin]$ ./ksql -U tom -W test -p 54322
Password: 
ksql (V8.0)
Type "help" for help.

4、測試總結:
在KingbaseES V008R006C005B0054測試中,賬號鎖定符合引數(sys_audlog.error_user_connect_times)既定的策略。

相關推薦

KingbaseES V8R6 賬號異常登入鎖定案例

資料庫版本: test=> select version(); version -----------------------------------------------------------------------------------------------------------

kingbaseES V8R6賬號異常登入鎖定測試案例

資料庫版本: test=> select version(); version -----------------------------------------------------------------------------------------------------------

KingbaseES V8R6 手工建立主備流複製叢集案例

案例說明: KingbaseES V8R6部署一般可採用圖形化方式快速部署,但在生產一線,有的伺服器系統未啟用圖形化環境,所以對於KingbaseES V8R6的叢集需採用手工字元介面方式部署,本次文件記錄了在一線環境下的字元介面

KingbaseES V8R6 單例項sys_backup.sh外部備份案例

案例說明: 本案例採用sys_backup.sh執行物理備份,備份使用如下邏輯架構:資料庫主機採用CentOS 7系統,repo採用kylin V10 Server。

KingbaseES V8R6叢集sys_backup.sh外部備份案例

案例說明: 本案例採用sys_backup.sh執行物理備份,備份使用如下邏輯架構:叢集採用CentOS 7系統,repo採用kylin V10 Server。

KingbaseES V8R6 單例項sys_backup.sh外部備份故障案例

案例說明: 在KingbaseES V8R6單例項環境,配置外部備份伺服器使用sys_backup.sh物理備份時,出現以下”WAL segmentxxx was not archived before the 60000ms timeout“故障。操作步驟見:《KingbaseES V8R6 單例項sy

KingbaseES V8R6備份恢復案例之---sys_waldump解析wal日誌PITR恢復

案例說明: 復現使用者刪除表(drop table)誤操作,通過wal日誌解析找到誤操作時間點,執行基於時間點的恢復(PITR)。適用版本:KingbaseES V8R6

Java web實現賬號單一登入,防止同一賬號重複登入(踢人效果)

實現了Java web開發賬號單一登入的功能,防止同一賬號重複登入,後面登入的踢掉前面登入的,使用過濾器Filter實現的。可以先下載專案下來測試下效果。

關於expdp任務異常的處理案例詳析

前言 本文主要介紹了關於expdp任務異常處理的相關內容,分享出來供大家參考學習,下面話不多說了,來一起看看詳細的介紹吧

登入註冊案例—MongoDB資料庫連線

登入註冊案例—MongoDB資料庫連線 const mongoose = require(\'mongoose\') // 連線資料庫 mongoose.connect(\'mongodb://127.0.0.1:27017/2005\',{useNewUrlParser: true},err => {

windows自動登入鎖定_如何使用動態鎖定自動鎖定Windows 10 PC

windows自動登入鎖定 Windows 10’s Creators Update adds Dynamic Lock, which tries to automatically lock your PC when you step away. Dynamic Lock uses Bluetooth to check the signal stren

ASP.NET--程式異常處理(實戰案例)

案例1:實現線上計算器 步驟: 其程式碼為; { try { double a = Convert.ToDouble(TextBox1.Text);

HTML & CSS - 表單:註冊 + 登入案例

HTML & CSS - 表單:註冊 + 登入 2.1.1 註冊 <!DOCTYPE html> <html lang=\"en\"> <head>

ios賬號第三方登入,判斷是否是Ios賬號

import com.alibaba.fastjson.JSONArray; import com.alibaba.fastjson.JSONObject; import com.rrk.common.center.bin.exception.RrkException;

windows forms 實現資料庫簡單賬號密碼登入

資料庫資訊 程式碼 using System; using System.Collections.Generic; using System.ComponentModel; using System.Data;

Java 賬號密碼登入成功例項

技術標籤:筆記 package text04; import java.util.Scanner; public class Text07 { public static void main(String[] args) {

Python中for else 的使用(銀行賬號登入

技術標籤:PythonPython中for else(銀行賬號登入)PythonPython3.0 拿一個簡單的銀行賬號登入的例子講解,

38.1 Filter過濾器(配置、生命週期、路徑配置、攔截方式配置)、登入驗證案例配置過濾器、敏感詞彙過濾、設計模式:裝飾模式

技術標籤:02 javaee 目錄 1 Filter:過濾器 2過濾器配置 2.1web.xml方式實現過濾器 2.2註解方式實現過濾器

KingbaseES R6叢集手工配置vip案例

案例環境: 作業系統(UOS): root@uos01:~# cat /etc/issue Uniontech OS Server 20 Enterprise \\n \\l

KES V8R6叢集手工配置VIP案例

經常有使用者問,V8R6叢集搭建時沒有配置VIP,搭建完成後,如何新增VIP?以下向大家介紹下手動新增VIP 的過程。