设置帐户安全策略
GaussDB 100为帐户提供了自动锁定和解锁帐户、手动锁定和解锁异常帐户和删除不再使用的帐户等一系列的安全措施,保证数据安全。账户的安全策略设置由与该账户关联的profile中参数确定。每一个账户有一个关联的profile,可以在账户创建的时候指定。如果没有指定,则使用默认的profile(DEFAULT)。通过更改关联的profile的参数,达到设置账户安全策略的目的。
自动锁定和解锁账户
注意:
“FAILED_LOGIN_ATTEMPTS”、“PASSWORD_LOCK_TIME”这两个参数的默认值都符合安全标准,用户可以根据需要重新设置参数,提高安全等级,但不允许设置为“0”。建议用户使用默认值。
为了保证帐户安全,如果用户输入密码次数超过一定次数(FAILED_LOGIN_ATTEMPTS),系统将自动锁定该帐户,默认值为10。次数设置越小越安全,但是在使用过程中会带来不便。
当帐户被锁定时间超过设定值(PASSWORD_LOCK_TIME),当用户在下一次登陆会自动解锁,默认值为1天。时间设置越长越安全,但是在使用过程中会带来不便。“PASSWORD_LOCK_TIME”的整数部分表示天数,小数部分可以换算成时、分、秒。
- 示例命令如下:
--查看用户关联的profile及其已配置的参数。SELECT * FROM ADM_PROFILES;
PROFILE RESOURCE_NAME RESOURCE_TYPE THRESHOLD
---------------------- --------------------------------- ------------- ----------------------------------------------------
DEFAULT SESSIONS_PER_USER KERNEL UNLIMITED
DEFAULT FAILED_LOGIN_ATTEMPTS PASSWORD 10
DEFAULT PASSWORD_LIFE_TIME PASSWORD 180
DEFAULT PASSWORD_REUSE_TIME PASSWORD UNLIMITED
DEFAULT PASSWORD_REUSE_MAX PASSWORD UNLIMITED
DEFAULT PASSWORD_LOCK_TIME PASSWORD 1
DEFAULT PASSWORD_GRACE_TIME PASSWORD 7
7 rows fetched.
--更改failed_login_attempts参数为10次。
ALTER PROFILE DEFAULT LIMIT FAILED_LOGIN_ATTEMPTS 10;
手动锁定和解锁帐户
若管理员发现某帐户被盗、非法访问等异常情况,可手动锁定该帐户。当管理员认为帐户恢复正常后,可手动解锁该帐户。
以手动锁定和解锁用户Tom为例,命令格式如下:
手动锁定
ALTER USER Tom ACCOUNT LOCK;手动解锁
ALTER USER Tom ACCOUNT UNLOCK;
删除不再使用的帐户
当确认帐户不再使用,管理员可以删除帐户。该操作不可恢复。
以删除帐户Tom为例,命令格式如下:
DROP USER Tom CASCADE;
说明:
删除的用户正处于活动状态时,是无法删除的,需要用户先断开会话,才可以删除。
删除用户时携带CASCADE时,这个用户下的所有对象将一并删除。
父主题: 数据库安全维护
