GaussDB（for Redis）安全性相關設置體驗

轉載贊收藏評論

舉報 2022-08-12

掃描,分享朋友圈

【摘要】 GaussDB（for Redis）安全性功能體驗

1.GaussDB數據庫介紹

高斯，德語：Gau?;? ，英語：Gauss。高斯的生平是1777年—1855。大概是中國清朝乾隆四十二年到咸豐五年。他和阿基米德、艾薩克·牛頓并稱世界公認的三大著名數學家。高斯被認為是歷史上最重要的數學家之一，并享有“數學王子”之稱，是微分幾何學的始祖（高斯、雅諾斯、羅巴切夫斯基）之一。

2019年5月15日，華為用大數學家高斯的名字正式面向全球推出了GaussDB數據庫。我們在開源的選擇中已經有了mysql等數據庫，那華為推出的GaussDB又解決了哪些mysql類數據庫沒有解決的問題呢。我們通過華為自己的定位可以看到，華為將GaussDB定位于AI-Native數據庫而非Cloud-Native數據庫，這不僅是一種升維，更是源于GaussDB實現的兩大革命性突破：其一，AI in DB，首次將AI技術引入了GaussDB全系列產品內核中，實現自運維、自管理、自調優、故障自診斷和自愈，調優性能比業界提升60%以上。其二，DB for AI，GaussDB數據庫適配AI的運行。用戶可以通過數據庫語言來方便地使用AI，降低AI使用門檻，實現普惠AI。

經過幾年的市場檢驗，在2022年6月的國產化數據庫排行榜上，高斯開源的oepnGauss和GaussDB雙雙進入前五。

下面我們通過試用GaussDB（for Redis），來看一下在安全性方面，GaussDB（for Redis）有哪些配置和安全性如何。

2.GaussDB（for Redis）的安全性設置

2.1 密碼安全設置

有人可能會說新建一個數據庫，密碼設置這不是常規操作，有什么值得說的。要知道GaussDB（for Redis）是對標redis的，由于redis本身并沒有強制必須的密碼配置和密碼負責度的配置，很多線上環境的redis完全就是裸奔，有IP和端口就可以進行連接，Redis因配置不當可以未授權訪問。攻擊者無需認證訪問到內部數據，可導致敏感信息泄露，也可以惡意執行flushall來清空所有數據。攻擊者可通過EVAL執行lua代碼，或通過數據備份功能往磁盤寫入后門文件。如果Redis以root身份運行，可以給root賬戶寫入SSH公鑰文件，直接通過SSH登錄受害服務器。所以使用GaussDB（for Redis）解決了redis本身自帶的安全性問題，也提高了系統的安全性。

2.2內網安全組進行隔離

在創建GaussDB（for Redis）的安全配置主要就是選擇內網安全組。內網安全組的配置其實就是一個小型ACL（訪問控制列表）控制哪些IP和端口可以進行訪問。

在安全組的描述說明中，華為云也很貼心的把常用的端口和威脅端口列了出來。

常用端口：

協議	端口	說明
FTP	21	FTP服務上傳和下載文件。
SSH	22	遠程連接Linux彈性云服務器。
Telnet	23	使用Telnet協議訪問網站。
SMTP	25	SMTP服務器所開放的端口，用于發送郵件。基于安全考慮，TCP 25端口出方向默認被封禁，申請解封請參考TCP 25端口出方向無法訪問時怎么辦？。
HTTP	80	使用HTTP協議訪問網站。
POP3	110	使用POP3協議接受郵件。
IMAP	143	使用IMAP協議接受郵件。
HTTPS	443	使用HTTPS協議訪問網站。
SQL Server	1433	SQL Server的TCP端口，用于供SQL Server對外提供服務。
SQL Server	1434	SQL Server的TCP端口，用于返回SQLServer使用了哪個TCP/IP端口。
Oracle	1521	Oracle通信端口，彈性云服務器上部署了Oracle SQL需要放行的端口。
MySQL	3306	MySQL數據庫對外提供服務的端口。
Windows Server Remote Desktop Services	3389	Windows遠程桌面服務端口，通過這個端口可以連接Windows彈性云服務器。
代理	8080	8080端口常用于WWW代理服務，實現網頁瀏覽，實現網頁瀏覽。如果您使用8080端口，訪問網站或使用代理服務器時，需要在IP地址后面加上：8080。安裝Apache Tomcat服務后，默認服務端口為8080。
NetBIOS	137、138、139	NetBIOS協議常被用于Windows文件、打印機共享和Samba。 137、138：UDP端口，通過網上鄰居傳輸文件時使用的端口。 139：通過這個端口進入的連接試圖獲得NetBIOS/S服務。

常見威脅端口：

協議	端口
TCP	42、135、137、138、139、444、445、593、1025、1068、1433、1434、3127、3128、3129、3130、4444、4789、5554、5800、5900、8998、9996
UDP	135~139、1026、1027、1028、1068、1433、1434、4789、5554、9996

2.3 數據備份

數據備份其實是一個重要的功能，不要認為只有黑客入侵才是安全事件。數據安全同樣是安全事件，因為滴滴問題去年數據安全大火了一把，因為磁盤、人為、環境等造成的數據丟失都需要數據的備份和恢復功能。

這邊還可以根據用戶自己的需求去設置備份策略。不知道是不是試用版的原因，我這邊備份最大只能備份35天。因為按照等保2.0數據備份的要求，重要的數據至少需要備份6個月。

2.4 限制高危命令

從下圖可以看到，我輸入了redis常用的keys命令，居然是執行失敗。因為GaussDB（for Redis）對redis原生命令進行了過濾，對一些高危命令進行了限制。詳細的命令規范可以參考命令兼容列表_云數據庫 GaussDB NoSQL _GaussDB(for Redis)_用戶指南_開發規范與命令兼容_華為云 (huaweicloud.com)

3.小結

總得來說GaussDB（for Redis）相對傳統開源redis的提升巨大，做了很多安全性的設置。開箱即用，使用GaussDB（for Redis）無疑會大大提升數據安全和系統安全。也期待GaussDB有更多安全性的提升。

本文系作者授權數英發表，內容為作者獨立觀點，不代表數英立場。
轉載請在文章開頭和結尾顯眼處標注：作者、出處和鏈接。不按規范轉載侵權必究。

掃描,分享朋友圈

BFsususu

技術/制作

近期精選文章更多

带玩具逛街时突然按下按钮的故事,丰满的妺妺3伦理播放,新婚人妻不戴套国产精品,大肉大捧一进一出好爽视频百度