数据库版本:

test=> select version();

                                                       version                                                    

-----------------------------------------------------------------------------------------------------------

 KingbaseES V008R006C005B0054 on x86_64-pc-linux-gnu, compiled by gcc (GCC) 4.1.2 20080704 (Red Hat 4.1.2-46), 64-bit

(1 row)

官方文档:https://help.kingbase.com.cn/stage-api/profile/document/kes/v8r6/html/safety/safety-guide/safety-identification.html#id9

帐户异常登录锁定

帐户异常登录锁定是指如果用户连续若干次不能正确的登录数据库,那么这个用户的帐户将被系统禁用。系统允许的用户连续错误登录次数由数据库管理员指定。被禁用的帐户可以由安全员利用 SQL 命令使其重新可用或者等待一段时间自动解锁。

KingbaseES通过插件的方式来进行帐户异常登录锁定以及账户登录信息显示。这种方式更为灵活,当数据库的实用场景需要进行帐户异常登录锁定以及账户登录信息显示时,加载插件即可。而不需要该功能时,卸载插件即可。

插件名为sys_audlog,相关参数由数据库安全员负责配置。

3.3.1. 加载插件

修改 kingbase.conf 文件中 shared_preload_libraries 参数。

shared_preload_libraries = 'sys_audlog'

create extension sys_audlog;

3.3.2. 参数配置

  • sys_audlog.error_user_connect_times

    允许用户连续登录失败的最大次数,用户登录失败的次数大于超过该值,用户自动锁定,取值范围为[0,INT_MAX],缺省为 0。

    设置密码连续最大失败次数为 10。
\c test sso

ALTER SYSTEM SET sys_audlog.max_error_user_connect_times = 10;

CALL sys_reload_conf();
  • sys_audlog.max_error_user_connect_times

    用户登录失败次数的最大值界限,error_user_connect_times的最大取值,取值范围为[0,INT_MAX],缺省为 2147483647。

    设置密码连续最大失败次数为 6。
\c test sso

ALTER SYSTEM SET sys_audlog.error_user_connect_times = 6;

CALL sys_reload_conf();
  • sys_audlog.error_user_connect_interval

    用户被锁定时间,若用户被锁定的时间超过了该参数,则该用户可自动解锁。单位是分钟,取值范围为[0,INT_MAX],0时关闭自动解锁功能,需手动解锁,缺省为 0。

    设置被封锁用户的自动解封时间为 1 小时。
\c test sso

ALTER SYSTEM SET sys_audlog.error_user_connect_interval = 60;

CALL sys_reload_conf();

3.3.3. 解除锁定

超过时间间隔自动解除用户封锁。

用户可由具有alter user权限的用户通过SQL语句进行手动解锁,解锁后用户登录的信息自动删除。

\c test sso

alter user username with login;

Tip

1.超过时间间隔后自动解锁用户需要登录成功,若达到解锁时间后重新登录且再次失败,用户会继续锁定。

2.登录时若不加-W时会自动进行一次不带密码的登录尝试,因此会多增加一次失败记录,且在解锁用户时使用不加-W的方式登录,会导致再次被锁定,因此在解锁用户时注意加-W参数进行登录尝试。

测试案例:

1、配置kingbase.conf和sys_hba.conf

配置kingbase.conf:(加载extension)

[kingbase@node1 data]$ cat kingbase.conf |grep sys_audlog

shared_preload_libraries = 'liboracle_parser, synonym, plsql, force_view, kdb_flashback,plugin_debugger, plsql_plugin_debugger, plsql_plprofiler, ora_commands,kdb_ora_expr, sepapower, dblink, sys_kwr, sys_ksh, sys_spacequota, sys_stat_statements, backtrace, kdb_utils_function, auto_bmr, sys_squeeze,sys_audlog'

配置sys_hba.conf:

=默认,local(本地)登录,不对用户身份进行认证,使用trust。=

# Allow replication connections from localhost, by a user with the

local   all             all                                     scram-sha-256

2、重新启动数据库后,sso用户配置相关参数

[kingbase@node1 bin]$ ./ksql -U sso test -p 54322

ksql (V8.0)

Type "help" for help.

test=> show sys_audlog.error_user_connect_interval ;

 sys_audlog.error_user_connect_interval

----------------------------------------

 0

(1 row)

test=> show sys_audlog.error_user_connect_times;

 sys_audlog.error_user_connect_times

-------------------------------------

 0

(1 row)

test=> alter system set sys_audlog.error_user_connect_times=5;

ALTER SYSTEM

test=> alter system set sys_audlog.error_user_connect_interval =3;

ALTER SYSTEM

test=> select sys_reload_conf();

 sys_reload_conf

-----------------

 t

(1 row)

test=> show sys_audlog.error_user_connect_times;

 sys_audlog.error_user_connect_times

-------------------------------------

 5

(1 row)

test=> show sys_audlog.error_user_connect_interval;

 sys_audlog.error_user_connect_interval

----------------------------------------

 3

(1 row)

3、创建用户测试

test=# create user tom with password 'tom';

CREATE ROLE

test=# \du

                                   List of roles

 Role name |                         Attributes                         | Member of

-----------+------------------------------------------------------------+-----------

 sao       | No inheritance                                             | {}

 sso       | No inheritance                                             | {}

 system    | Superuser, Create role, Create DB, Replication, Bypass RLS | {}

 tom       |                                                            | {}

4、用户登录测试

[kingbase@node1 bin]$ ./ksql -U tom -W test -p 54322

Password:

ksql: error: could not connect to server: FATAL:  password authentication failed for user "tom"

NOTICE:  This is the 1 login failed. There are 4 left.

[kingbase@node1 bin]$ ./ksql -U tom -W test -p 54322

Password:

ksql: error: could not connect to server: FATAL:  password authentication failed for user "tom"

NOTICE:  This is the 2 login failed. There are 3 left.

[kingbase@node1 bin]$ ./ksql -U tom -W test -p 54322

Password:

ksql: error: could not connect to server: FATAL:  password authentication failed for user "tom"

NOTICE:  This is the 3 login failed. There are 2 left.

[kingbase@node1 bin]$ ./ksql -U tom -W test -p 54322

Password:

ksql: error: could not connect to server: FATAL:  password authentication failed for user "tom"

NOTICE:  This is the 4 login failed. There are 1 left.

[kingbase@node1 bin]$ ./ksql -U tom -W test -p 54322

Password:

ksql (V8.0)

Type "help" for help.

4、测试总结:

在KingbaseES V008R006C005B0054测试中,账号锁定符合参数(sys_audlog.error_user_connect_times)既定的策略。

KingbaseES V8R6 账号异常登录锁定案例的更多相关文章

  1. KingbaseES V8R6单实例外部备份案例

    案例说明: 本案例采用sys_backup.sh执行物理备份,备份使用如下逻辑架构:数据库主机采用CentOS 7系统,repo采用kylin V10 Server. 单实例+外部备份服务器 备份逻辑 ...

  2. kingbaseES V8R6集群备份恢复案例之---备库作为repo主机执行物理备份

    ​ 案例说明: 此案例是在KingbaseES V8R6集群环境下,当主库磁盘空间不足时,执行sys_rman备份,将集群的备库节点作为repo主机,执行备份,并将备份存储在备库的磁盘空间. 集群架构 ...

  3. KingbaseES V8R6集群外部备份案例

    案例说明: 本案例采用sys_backup.sh执行物理备份,备份使用如下逻辑架构:集群采用CentOS 7系统,repo采用kylin V10 Server. 一主一备+外部备份 此场景为主备双机常 ...

  4. KingbaseES V8R6集群维护案例之---将securecmdd通讯改为ssh案例

    案例说明: 在KingbaseES V8R6的后期版本中,为了解决有的主机之间不允许root用户ssh登录的问题,使用了securecmdd作为集群部署分发和通讯的服务,有生产环境通过漏洞扫描,在88 ...

  5. KingbaseES V8R6集群部署案例之---Windows环境配置主备流复制(异机复制)

    案例说明: 目前KingbaseES V8R6的Windows版本不支持数据库sys_rman的物理备份,可以考虑通过建立主备流复制实现数据库的异机物理备份.本案例详细介绍了,在Windows环境下建 ...

  6. KingbaseES V8R6集群维护案例之--修改securecmdd工具服务端口

    案例说明: 在一些生产环境,为了系统安全,不支持ssh互信,或限制root用户使用ssh登录,KingbaseES V8R6可以使用securecmdd工具支持主机之间的通讯.securecmdd工具 ...

  7. Python 文件读写,条件循环(三次登录锁定账号实例)

    通过文件读写,条件循环相关语法,实现三次登录失败则锁定该账号的功能 需求一 """需求描述: 1.输入正确账号,密码,退出程序 2.登录失败,重新输入账号密码 3.同一账 ...

  8. 百万年薪python之路 -- 模拟三次账号登录锁定功能

    用代码实现三次用户登录及锁定(选做,时间充足建议做一做) 项目分析: 一.首先程序启动,显示下面内容供用户选择: 1.注册 2.登录 a.用户选择登录的时候,首先判断用户名在userinfo.txt表 ...

  9. KingbaseES V8R6集群维护案例之---停用集群node_export进程

    案例说明: 在KingbaseES V8R6集群启动时,会启动node_exporter进程,此进程主要用于向kmonitor监控服务输出节点状态信息.在系统安全漏洞扫描中,提示出现以下安全漏洞: 对 ...

随机推荐

  1. SE37 绕过权限检查 ALINK_CALL_TRANSACTION

  2. centos8 编译安装 httpd-2.4

    前提:关闭selinux和防火墙 SElinux: setenforce 0 vim /etc/selinux/config-->disable 防火墙: firewall-cmd --set- ...

  3. Random生成指定范围的随机数和对象数组

    查看类 ~java.util.Random :该类需要 import导入使后使用. 查看构造方法 ~public Random() :创建一个新的随机数生成器. 查看成员方法 ~public int ...

  4. c# 反射专题—————— 介绍一下是什么是反射[ 一]

    前言 为什么有反射这个系列,这个系列后,asp net 将会进入深入篇,如果没有这个反射系列,那么asp net的源码,看了可能会觉得头晕,里面的依赖注入包括框架源码是大量的反射. 正文 下面是官方文 ...

  5. MISC 2022/4/21 刷题记录-千字文

    1.千字文 得到名为png的无类型文件,010 Editor查看,png,改后缀,得到二维码 QR扫描,得到一句话"这里只有二维码" 思路不对,binwalk一下,发现有错误信息 ...

  6. 01. DOCKER - 容器技术

    什么是容器 对于容器这个词,大部分人第一时间想到的肯定是生活中常见瓶瓶罐罐,用来装水的东西.它给人的第一感觉就是能 "装". 而在 IT 领域,Container 就被直译为容器, ...

  7. Java + Selenium + OpenCV解决自动化测试中的滑块验证

    最近工作过程中,一个常用的被测网站突然增加了滑块验证环节,导致整个自动化项目失效了. 为了解决这个滑块验证问题,在网上查阅了一些资料后,总结并实现了解决方案,现记录如下. 1.滑块验证思路 被测对象的 ...

  8. Trie树模板1字符串统计

    Trie树模板1字符串统计 我们首先来了解一下字典树,首先看一下一张字典树的图片 字典树就是一个可以高效存储.查找字符串的树,比如上面这个字典树就是存储abc,acb,bac的字典树. 1.插入操作( ...

  9. Keep In Line_via牛客网

    题目 链接:https://ac.nowcoder.com/acm/contest/28537/H 来源:牛客网 时间限制:C/C++ 1秒,其他语言2秒 空间限制:C/C++ 262144K,其他语 ...

  10. DTS搭载全新自研内核,突破两地三中心架构的关键技术|腾讯云数据库

    随着企业规模的扩大,对数据库可用性要求越来越高,更多企业采用两地三中心.异地多活的架构,以提高数据库的异常事件应对能力. 在数据库领域,我们常听的"两地三中心"."异地多 ...