设置帐户安全策略

    • 为了保证帐户安全,如果用户输入密码次数超过一定次数(failed_login_attempts),系统将自动锁定该帐户,默认值为10。次数设置越小越安全,但是在使用过程中会带来不便。

    • 当帐户被锁定时间超过设定值(password_lock_time),则当前帐户自动解锁,默认值为1天。时间设置越长越安全,但是在使用过程中会带来不便。

    配置failed_login_attempts参数。

    1. 以操作系统用户omm登录数据库主节点。

    2. 使用如下命令连接数据库。

      postgres为需要连接的数据库名称,8000为数据库主节点的端口号。

      连接成功后,系统显示类似如下信息:

      2. Type "help" for help.
      4. openGauss=#

    3. 查看已配置的参数。

      1. openGauss=# SHOW failed_login_attempts;
      2.  failed_login_attempts
      4.  10
      5. (1 row)

    4. 执行如下命令设置成默认值10。

    配置password_lock_time参数。

    1. 以操作系统用户omm登录数据库主节点。

    2. 使用如下命令连接数据库。

        postgres为需要连接的数据库名称,8000为数据库主节点的端口号。

        连接成功后,系统显示类似如下信息:

        1. gsql ((openGauss 1.0 build 290d125f) compiled at 2020-05-08 02:59:43 commit 2143 last mr 131
        2. Non-SSL connection (SSL connection is recommended when requiring high-security)
        3. Type "help" for help.
        5. openGauss=#

      1. 查看已配置的参数。

        如果显示结果不为1,执行“\q”命令退出数据库。

        1. gs_guc reload -N all -I all -c "password_lock_time=1"

      若管理员发现某帐户被盗、非法访问等异常情况,可手动锁定该帐户。

      当管理员认为帐户恢复正常后,可手动解锁该帐户。

      以手动锁定和解锁用户joe为例,用户的创建请参见,命令格式如下:

      • 手动锁定

        1. openGauss=# ALTER USER joe ACCOUNT LOCK;
        2. ALTER ROLE

      • 手动解锁

      当确认帐户不再使用,管理员可以删除帐户。该操作不可恢复。

      当删除的用户正处于活动状态时,此会话状态不会立马断开,用户在会话状态断开后才会被完全删除。

      1. DROP ROLE