更多安全策略
除了传统的用户和权限管理之外,TDengine 还有其他的安全策略,例如 IP 白名单、审计日志、数据加密等,这些都是 TDengine Enterprise 特有功能,其中白名单功能在 3.2.0.0 版本首次发布,审计日志在 3.1.1.0 版本中首次发布,数据库加密在 3.3.0.0 中首次发布,建议使用最新版本。
IP 白名单
IP 白名单是一种网络安全技术,它使 IT 管理员能够控制“谁”可以访问系统和资源,提升数据库的访问安全性,避免外部的恶意攻击。IP 白名 单通过创建可信的 IP 地址列表,将它们作为唯一标识符分配给用户,并且只允许这些 IP 地址访问目标服务器。请注意,用户权限与 IP 白名单是不相关的,两者分开管理。下面是配置 IP 白名单的具体方法。
增加 IP 白名单的 SQL 如下。
create user test pass password [sysinfo value] [host host_name1[,host_name2]]
alter user test add host host_name1
查询 IP 白名单的 SQL 如下。
SELECT TEST, ALLOWED_HOST FROM INS_USERS;
SHOW USERS;
删除 IP 白名单的命令如下。
ALTER USER TEST DROP HOST HOST_NAME1
审计日志
TDengine 先对用户操作进行记录和管理,然后将这些作为审计日志发送给taosKeeper,再由 taosKeeper 保存至任意 TDengine 集群。管理员可通过审计日志进行安全监控、历史追溯。TDengine 的审计日志功能开启和关闭操作非常简单, 只须修改TDengine 的配置文件后重启服务。审计日志的配置说明如下。
taosd 配置
审计日志由数据库服务 taosd 产生,其相应参数要配置在 taos.cfg 配置文件中,详细参数如下表。
参数名称 | 参数含义 |
---|---|
audit | 是否打开审计日志,默认值为 0。1 为开启,0 为关闭 |
monitorFqdn | 接收审计日志的 taosKeeper 所在服务器的 FQDN |
monitorPort | 接收审计日志的 taosKeeper 服务所用端口 |
monitorCompaction | 上报数据时是否进行压缩 |
taosKeeper 配置
在 taosKeeper 的配置文件 keeper.toml 中配置与审计日志有关的配置参数,如下表所示
参数名称 | 参数含义 |
---|---|
auditDB | 用于存放审计日志的数据库的名字,默认值为 "audit" ,taosKeeper 在收到上报的审计日志后会判断该数据库是否存在,如果不存在会自动创建它 |