系统黑白名单文件参数配置
📄字数 1.3K
👁️阅读量 加载中...
概述
系统黑白名单配置文件 trust.ini 用于对请求连接的客户端进行受信认证。
该文件定义了哪些客户端IP地址是可以信任的,哪些是不可信任的。通过配置黑白名单策略,可以有效地控制哪些客户端可以与服务端建立连接会话。
黑名单优先级高于白名单。当某个IPv4地址被同时加入黑白名单策略时,黑名单优先执行,禁止该地址与服务端建立连接会话。
只有不在 trust.ini 黑名单策略中的IP地址的客户端才被允许与服务端建立连接会话。
策略设置
使用参数--init-setup执行数据库程序,生成系统黑白名单配置文件 trust.ini,初始配置如下:
sh
#Trusted db user ip setup:
# trust(or untrust)db_name(or everydb)user_name(or everyone) from ip1 to ip2
trust everydb everyone from anywheretrust.ini每一行代表一条访问受信策略,受信认证支持多行书写。#行是注释内容。
配置文件格式:
sh
{trust | untrust} {db_name | everydb} { user_name | everyone } from ip1 [to ip2]关键字说明
| 关键字 | 说明 |
|---|---|
| trust | 白名单,信任当前策略中出现的用户、登录库和IP地址。 |
| untrust | 黑名单,拒绝当前策略中出现的用户、登录库和IP地址。 |
| db_name | 该配置项影响的数据库库名。 |
| everydb | 该配置项影响所有数据库。 |
| everyone | 该配置项影响所有用户。 |
| user_name | 该配置项影响的用户名。 |
| ip1 | 该配置项影响的IP地址,若针对所有来访IP地址则可配置为 anywhere。 |
| to ip2 | 可选参数,表示从 ip1 到 ip2 的IP段均受策略影响。 |
使用场景说明
- 配置trust.ini文件仅对当前节点生效,需在启动数据库服务前配置或配置后重启,建议所有节点配置信息一致。
- 可使用具备权限的用户登录数据库后,执行命令方式配置黑白名单。
示例
1.受信/拒绝来自任何地址上的任何用户身份登录任何库的连接请求。
sh
trust/untrust everydb everyone from anywhere
trust/untrust everyone from anywhere2.受信/拒绝来自任何地址上的U1用户身份登录DB1库的连接请求。
sh
trust/untrust DB1 U1 from anywhere3.受信/拒绝来自127.0.0.1到127.0.0.225之间地址的任何用户身份登录任何库的连接请求。
sh
trust/untrust everydb everyone from 127.0.0.1 to 127.0.1.225
trust/untrust everyone from 127.0.0.1 to 127.0.0.2254.当前节点只允许由192.168.1.100的sysdba用户登录到system库进行访问。
sh
trust system sysdba from 192.168.1.1005.当前节点允许从192.168.1.100至192.168.1.109这个IP段的SYSDBA用户登录访问SYSTEM库。
sh
trust system sysdba from 192.168.1.100 to 192.168.1.109