wordpress的pingsu主题,搜索引擎优化方案案例,北京市住房建设厅官网,wordpress自定义功能1 用户及权限
1.1 默认权限机制-未开启三权分立 1.1.1 数据库系统管理员具有与对象所有者相同的权限。也就是说对象创建后#xff0c;默认只有对象所有者或者系统管理员可以查询、修改和销毁对象#xff0c;以及通过GRANT将对象的权限授予其他用户。 1.1.2 GaussDB支持以下的…
1 用户及权限
1.1 默认权限机制-未开启三权分立 1.1.1 数据库系统管理员具有与对象所有者相同的权限。也就是说对象创建后默认只有对象所有者或者系统管理员可以查询、修改和销毁对象以及通过GRANT将对象的权限授予其他用户。 1.1.2 GaussDB支持以下的权限SELECT、INSERT、UPDATE、DELETE、TRUNCATE、REFERENCES、CREATE、CONNECT、EXECUTE、USAGE、ALTER、DROP、COMMENT、INDEX和VACUUM 1.1.3 系统表和系统视图要么只对系统管理员可见要么对所有用户可见 1.1.4 数据库提供对象隔离的特性对象隔离特性开启时用户只能查看有权限访问的对象(表、视图、字段、函数)系统管理员不受影响 1.1.5 不建议用户修改系统表和系统视图的权限。 1.2 管理员 1.2.1 初始用户 数据库安装过程中自动生成的账户称为初始用户。初始用户也是系统管理员、监控管理员、运维管理员和安全策略管理员拥有系统的最高权限能够执行所有的操作。 1.2.2 系统管理员 系统管理员是指具有SYSADMIN属性的账户默认安装情况下具有与对象所有者相同的权限但不包括dbe_perf模式的对象权限 CREATE USER sysadmin WITH SYSADMIN password “; ALTER USER joe SYSADMIN; 1.2.3 安全管理员 安全管理员是指具有CREATEROLE属性的账户具有创建、修改、删除用户或角色的权限和授予或者撤销任何非系统管理员、内置角色、永久用户、运维管理员的权限。 要创建新的安全管理员三权分立关闭时请以系统管理员或者安全管理员身份连接数据库。三权分立打开时请以安全管理员身份连接数据库 ALTER USER joe CREATEROLE; CREATE USER createrole WITH CREATEROLE password ”; 1.2.4 审计管理员 审计管理员是指具有AUDITADMIN属性的账户具有查看和删除审计日志的权限。 要创建新的审计管理员三权分立关闭时请以系统管理员或者安全管理员身份连接数据库。三权分立打开时只能以初始用户身份连接数据库 gaussdb# CREATE USER auditadmin WITH AUDITADMIN password “; gaussdb# ALTER USER joe AUDITADMIN; 1.2.5 监控管理员 监控管理员是指具有MONADMIN属性的账户具有查看dbe_perf模式下视图和函数的权限亦可以对dbe_perf模式的对象权限进行授予或收回。 要创建新的监控管理员请以系统管理员身份连接数据库并使用带MONADMIN选项的CREATE USER语句或ALTER USER语句进行设置。 CREATE USER monadmin WITH MONADMIN password ”; ALTER USER joe MONADMIN; 1.2.6 运维管理员 运维管理员是指具有OPRADMIN属性的账户具有使用Roach工具执行备份恢复的权限。 要创建新的运维管理员请以初始用户身份连接数据库并使用带OPRADMIN选项的CREATE USER语句或ALTER USER语句进行设置。 1.2.7 安全策略管理员 安全策略管理员是指具有POLADMIN属性的账户具有创建资源标签、脱敏策略和统一审计策略的权限。 要创建新的安全策略管理员请以系统管理员用户身份连接数据库并使用带POLADMIN选项的CREATE USER语句或ALTER USER语句进行设置。 1.3 三权分立-削减系统管理员权限 1.3.1 系统管理员将不再具有CREATEROLE属性安全管理员和AUDITADMIN属性审计管理员即不再拥有创建角色和用户的权限也不再拥有查看和维护数据库审计日志的权限 1.3.2 初始用户的权限不受三权分立设置影响。因此建议仅将此初始用户作为DBA管理用途而非业务应用。 1.3.3 三权分立的设置方法为将GUC参数enableSeparationOfDuty设置为on。 1.4 用户 1.4.1 普通用户 1.4.2 永久用户 创建具有PERSISTENCE属性可用使用保留连接额连接数据库 gaussdb# CREATE USER user_persistence WITH PERSISTENCE IDENTIFIED BY “********”; service_reserved_connections https://support.huaweicloud.com/distributed-devg-v3-gaussdb/gaussdb-10-0259.html#section8 为后台运维用户带有persistence属性预留的最少连接数不建议设置过大。该参数和max_connections参数配合使用运维用户的最大连接数等于max_connections service_reserved_connections。 1.5 角色 1.5.1 SELECT * FROM PG_ROLES; 1.5.2 非三权分立时只有系统管理员和具有CREATEROLE属性的用户才能创建、修改或删除角色。三权分立下只有初始用户和具有CREATEROLE属性的用户才能创建、修改或删除角色。 1.6 Schema 1.6.1 每个数据库都包含一个pg_catalog Schema它包含系统表和所有内置数据类型、函数和操作符 1.7 行级访问控制 1.7.1 行级访问控制的目的是控制表中行级数据可见性通过在数据表上预定义Filter在查询优化阶段将满足条件的表达式应用到执行计划上影响最终的执行结果。当前受影响的SQL语句包括SELECT、UPDATE和DELETE。
2 VACUUM
2.1 VACUUM的本质就是一个“吸尘器”用于吸收“尘埃”。而尘埃其实就是旧版本数据如果这些数据没有及时清理那么将会导致数据库空间膨胀性能下降更严重的情况会导致宕机
3 数据库审计
3.1 审计总开关audit_enabled支持动态加载。在数据库运行期间修改该配置项的值会立即生效无需重启数据库。默认值为on表示开启审计功能。 3.2 除了审计总开关各个审计项也有对应的开关。只有开关开启对应的审计功能才能生效。 3.3 各审计项的开关支持动态加载。在数据库运行期间修改审计开关的值会立即生效无需重启数据库。 3.4 配置审计项 3.4.1 用户登录、注销审计 参数audit_login_logout 3.4.2 数据库启动、停止、恢复和切换审计 参数audit_database_process 3.4.3 用户锁定和解锁审计 参数audit_user_locked 3.4.4 用户访问越权审计 参数audit_user_violation 3.4.5 授权和回收权限审计 参数audit_grant_revoke 3.4.6 对用户操作进行全量审计 参数full_audit_users 3.4.7 不需要审计的客户端名称及IP地址 参数no_audit_client 3.4.8 数据库对象的CREATEALTERDROP操作审计 参数audit_system_object 3.4.9 具体表的INSERT、UPDATE和DELETE操作审计 参数audit_dml_state 3.4.10 SELECT操作审计 参数audit_dml_state_select 3.4.11 COPY审计 参数audit_copy_exec 3.4.12 执行存储过程和自定义函数的审计 参数audit_function_exec 3.4.13 执行白名单内的系统函数审计 参数audit_system_function_exec 3.4.14 SET 参数audit_set_parameter 3.4.15 事务ID记录 参数audit_xid_info 3.4.16 内部工具连接及操作审计 参数audit_internal_event
