KingbaseES用户的默认密码保存在参数.audit_password

KingbaseES SAO用户是专门用于审计管理的用户,需要使用该用户配置审计策略。 initdb 完成后,SAO 用户的默认密码保存在参数 sysaudit.audit_table_password 和 sysaudit.local_sao_password 中微信改密码参数错误,默认密码为 ‘12345678ab’ 。以下示例展示了修改 SAO 用户密码的过程。

1、启用审计功能

设置参数:

shared_preload_libraries = 'liboracle_parser, synonym, plsql, force_view, plugin_debugger, plsql_plugin_debugger, plsql_plprofiler, ora_commands,kdb_ora_expr, sepapower, dblink, sys_kwr, sys_ksh, sys_spacequota, sys_stat_statements, backtrace, kdb_utils_function, sysaudit'
sysaudit.enable = on

2、修改SAO用户密码

alterr role sao with password '123abc'

修改后用户登录时会出现如下错误提示(实际用户登录成功):

2021-10-29 10:03:50.655 CST [27219] LOG:  could not connect to the KinbaseES server: fe_sendauth: no password supplied

这是因为在集群环境下,SAO需要连接数据库来确认数据库的主备,而连接数据库的密码是sysaudit.audit_table_password和sysaudit.local_sao_password保存的密码。

同时修改参数sysaudit.audit_table_password和sysaudit.local_sao_password后,确认数据库不再报错。

3、密码安全

如果密码以明文形式存储在数据库参数中微信改密码参数错误,会出现安全问题。用户可以将这两个参数留空:

test=> alter system set sysaudit.audit_table_password='';
ALTER SYSTEM
test=> alter system set sysaudit.local_sao_password ='';
ALTER SYSTEM

同时修改.encpwd文件免密码登录:

[c5@dbhost03 ~]$ sys_encpwd -H 127.0.0.1 -P 54321 -D security -U sao -W 123abc
[c5@dbhost03 ~]$ sys_encpwd -H \* -P 54321 -D \* -U sao -W 123abc
[c5@dbhost03 ~]$ ksql -d test -U sao -h 127.0.0.1
Password for user sao: 
[c5@dbhost03 ~]$ ksql -d security -U sao -h 127.0.0.1
ksql (V8.0)
Type "help" for help.
security=> 

密码可以如下解密:

[c5@dbhost03 ~]$ cat .encpwd
127.0.0.1:54321:security:sao:MTIzYWJj
*:54321:*:sao:MTIzYWJj
[c5@dbhost03 ~]$ echo 'MTIzYWJj' | base64 -d
123abc

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论