手册下载
H3C SecPath DE2000系列数据库加密与访问控制系统
典型配置举例
Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目录
H3C SecPath DE2000数据库加密与访问控制系统提供对敏感数据加密的功能。在对敏感数据进行加密的基础上增加访问授权机制,任何访问被加密数据的人或应用事先必须经过授权,拥有合法访问权限才能正常访问加密后的数据。
H3C SecPath DE2000数据库加密与访问控制系统支持Oracle (10g、11g、12c、19c)数据库、达梦(DM7、DM8)数据库、SQL Server(2012、2014、2016、2017、2019)数据库、Kingbase(V7)、PostgreSQL(10)、DB2(10.5)、Gauss100数据库的列加密;并支持oracle(11.2.0.4及以上版本)表空间加密、mysql(5.7.11及以上版本)表加密、kingbase(V8R6版本)表加密以及sqlserver(2012及以上版本)库加密。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
适用产品:
H3C SecPath DE2000
适用版本:H3C i-Ware Software,Version 3.1,ESS 6701版本及之后版本
表3-1 数据库版本支持列表
数据库类型 |
数据库版本 |
oracle |
列加密:oracle
10.2.0.4.0 /11.2.0.1.0 /11.2.0.4.0/12.2.0.1.0/19.0.0.0.0 |
db2 |
V10.5.0.5,V11.5.0.1077 |
sqlserver |
SQLserver
2012-11.0.3000.0/2017-14.0.1000.169 |
达梦 |
达梦V7.6.1.60/V8 0x7000a |
高斯db |
GaussDB_T_1.0.2.SPC010.B012 |
postgresql |
PostgreSQL 10.4 on x86_64-pc-linux-gnu |
人大金仓 |
kingbase7.1.2.0832 |
Mysql |
表空间加密:MySQL 5.7.32/8.0.23 |
数据库加密与访问控制系统采用旁路部署方式,数据库加密与访问控制系统与用户数据库系统路由可达即可,现有系统及网络拓扑均无需改动。
按照组网图组网。
(1) 登录数据库加密与访问控制系统
(2) 添加数据源并安装插件
(3) 加密队列配置
(4) 查看队列任务
(5) 解密队列配置
在浏览器中输入URL:https://服务器IP地址:9595(如https://192.168.0.1:9595),进入数据库加密与访问控制系统登录页面,输入管理员用户名admin、输入密码(默认admin)、输入验证码,点击“登录”按钮。
图4-2 登录web页面
(1) 进入“数据源配置>添加数据源>”页面点击“添加数据源”按钮,进入添加数据源窗口。
图4-3 数据源配置页面-添加数据源按钮
表4-1 添加数据源配置参数说明
参数 |
配置方式 |
作用 |
数据源配置名 |
输入框 |
自定义资产名称 |
数据库类型 |
下拉选择框 |
选择要连接的数据源类型 |
版本 |
下拉选择框 |
选择要连接的数据库版本 |
数据库IP |
输入框 |
输入要连接的数据库IP地址 |
数据库端口 |
输入框 |
输入要连接的数据库端口地址 |
用户名 |
输入框 |
输入要连接的数据库账号,数据库账号需要按加密需求设定权限,TDEINSTALL用户满足加密权限要求,建议为TDEINSTALL |
密码 |
输入框 |
输入要连接数据库账号对应的数据库密码 |
实例名 |
输入框 |
输入要连接数据库对应的实例名 |
授权代理端口 |
输入框 |
输入加密设备上设置为授权代理端口值,授权代理端口用作表/库加密连接。 |
(2) 填写数据库信息,点击测试数据库连接,成功后点击下一步;
(3) 填写主机信息,点击测试主机连接,成功后点击下一步;
表4-2 主机配置参数说明
参数 |
配置方式 |
作用 |
主机IP |
输入框 |
输入数据库所在服务器的IP地址 |
主机端口 |
输入框 |
输入数据库所在服务器的ssh服务端口 |
用户名 |
输入框 |
输入数据库所在服务器的操作系统用户名 |
密码 |
输入框 |
输入数据库所在服务器的操作系统用户对应的密码 |
字符集 |
输入框 |
输入数据库所在服务器操作系统的字符集编码 |
主机操作系统 |
自动获取 |
显示数据库所在服务器的操作系统类型 |
内核 |
自动获取 |
显示数据库所在服务器的操作系统内核信息 |
指标监控阈值 |
输入框 |
输入对数据库所在服务器操作系统的资源监控阈值,超过该值时暂停加密 |
注意事项:数据库服务器需要支持ssh服务连接。ssh服务开启方式如下:
a. 首先查看是否安装ssh:
¡ 查看ssh版本:ssh –V
¡ 查看ssh状态:sudo service sshd status
¡ 通过查看安装包的方式查看是否安装ssh:rpm –qa|grep ssh
b. 如果需要远程连接SSH,需要把22端口在防火墙上开放。开放防火墙22端口方法如下:
¡ 查看22端口:grep port /etc/ssh/sshd_config
¡ 开放端口命令: /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
¡ 保存:/etc/rc.d/init.d/iptables save
¡ 重启服务:/etc/init.d/iptables restart
¡ 查看端口是否开放:/sbin/iptables -L -n
c. 安装ssh服务方法如下:
¡ sudo yum install sshd
¡ 通过yum安装ssh: yum install ssh
d. 开启ssh服务方法如下:
¡ 执行命令/etc/init.d/sshd start
¡ 执行命令/etc/init.d/sshd stop
¡ 执行命令/etc/init.d/sshd restart
(4) 填写日志信息,点击测试日志连接,成功后点击“保存”按钮,后续可根据自己设置的路径在对应主机服务器上获取日志文件。日志路径获取方法如下:
· 查询数据库官方手册,得到数据库日志文件名称。
· 结合数据库官方手册以及实际数据库的安装目录情况,在数据库日志文件名输入框输入实际日志文件路径即可。
图4-7 测试日志连接页面
图4-8 服务器上获取日志文件
表4-3 日志信息参数说明
参数 |
配置方式 |
作用 |
数据库日志文件名 |
输入框 |
输入数据库服务器上的数据库日志文件路径,以便下载数据库日志文件 |
(5) 在数据源配置页面选择需要安装插件的数据源,点击插件按钮下的开关安装插件。
(1) 进入“列加密>加密队列配置”页面,在库选择栏选择已安装的数据库,在被加密表栏选择加密模式、加密表,点击“确定”按钮;
图4-10 选择加密模式/加密表页面
(2) 点击下一步后进入用户授权页面,在需要进行授权的用户后面勾选权限“查询、添加、修改、删除”操作,点击“授权”按钮。
(3) 进行用户授权后进入初始化表页面,在加密方式栏选择需要使用的加密方式,在加密算法栏选择需要使用的加密算法,在被加密列名栏选择需要加密的列名并保存无权限缺省值,点击“初始化表”按钮,初始化表成功,进入加密测试界面。
表4-4 初始化参数说明
参数 |
配置方式 |
作用 |
库选择 |
下拉框 |
选择已安装插件支持列加密的数据库 |
被加密表 |
下拉框 |
选择支持加密的模式和表 |
加密方式 |
单选项 |
选择加密方式为一列一密和一行一密,密指代密钥 |
加密算法 |
下拉框 |
选择加密时使用的算法 |
加密列表-选择 |
勾选框 |
选择要加密的列 |
加密列表-无权限缺省值 |
输入框 |
输入加密状态显示的值 |
加密列表-操作 |
按钮 |
输入缺省值后保存按钮 |
(4) 点击加密测试后点击下一步查看加密队列信息,点击“配置完成”按钮;
表4-5 加密队列配置参数说明
参数 |
配置方式 |
作用 |
每批条数 |
输入框 |
输入每批加密的条数 |
周期 |
输入框 |
输入新插入数据的加密周期时间 |
线程数 |
输入框 |
输入执行加密队列的线程数 |
启动队列 |
勾选框 |
选择配置完成后队列的默认运行状态 |
进入“列加密>查看队列任务”页面点击“查看”按钮。
表4-6 查看队列任务参数说明
参数 |
配置方式 |
作用 |
每次加密 |
输入框 |
输入下一批次加密的处理条数 |
线程数 |
输入框 |
输入下一批次执行加密的线程数 |
(1) 进入“列加密>解密队列配置”页面,在库选择栏选择已安装的数据库,在被加密表栏选择加密模式、被加密表名,点击“确定”按钮;
图4-16 选择加密模式/加密表页面
(2) 选择被加密列表,点击“加密测试”按钮后点击下一步查看解密队列信息,点击“配置完成”
表4-7 解密队列配置参数说明
参数 |
配置方式 |
作用 |
每批条数 |
输入框 |
输入每次加密执行的数据量,单位行 |
周期 |
输入框 |
输入新插入数据的解密周期时间 |
线程数 |
输入框 |
输入执行解密队列的线程数 |
启动队列 |
勾选框 |
选择解密队列配置完成后默认队列任务状态 |
回滚表结构 |
勾选框 |
选择解密队列配置完成后是否自动进行回滚表结构,默认勾选表示配置完成后自动回滚表结构 |
(3) 等待解密队列完成。
图4-18 解密完成
(1) 下载dbeaver数据库连接工具并安装,下载链接为https://dbeaver.io/download/。
(2) 打开dbeaver,点击右上角添加数据库按钮。
(3) 选择数据库类型,选择后点击下一步。
(4) 输入数据源或者目标源数据库的连接信息,测试连接成功后并保存该连接。
(5) 保存连接后,新建sql编辑器按钮建立执行sql的窗口。
图4-22 新建sql编辑器
(6) 在sql窗口输入查询语句查询加密前后的数据,如SELECT t.* FROM TEST.ALL_3 t;。
(7) 使用未授权的用户对加密后的表数据进行查询,数据显示默认缺省值;
(8) 使用授权用户对加密后的表数据进行查询,数据显示明文
(9) 使用未授权用户对解密后的表数据进行查询,数据显示明文
数据库加密与访问控制系统采用旁路部署方式,数据库加密与访问控制系统与用户数据库系统路由可达即可,现有系统及网络拓扑均无需改动。
(2) 添加数据源并安装插件
(3) 新增加密表空间
(4) 表空间加密
(5) 索引重建
(6) 表空间授权
(7) 表空间解密
(8) 索引重建
在浏览器中输入URL:https://服务器IP地址:9595(如https://192.168.0.1:9595),进入管理平台登录页面,输入管理员用户名admin、输入密码(默认admin)、输入验证码,点击“登录”按钮。
(1) 安全管理员登录管理平台,进入“数据源配置>添加数据源>”页面点击“添加数据源”按钮,进入添加数据源窗口,填写数据库信息,点击测试数据库连接成功后,点击下一步;
配置方式 |
作用 |
|
数据源配置名 |
输入框 |
自定义资产名称 |
数据库类型 |
下拉选择框 |
选择要连接的数据源类型 |
版本 |
下拉选择框 |
选择要连接的数据库版本 |
数据库IP |
输入框 |
输入要连接的数据库IP地址 |
数据库端口 |
输入框 |
输入要连接的数据库端口地址 |
用户名 |
输入框 |
输入要连接的数据库账号,建议为TDEINSTALL |
密码 |
输入框 |
输入要连接数据库账号对应的数据库密码 |
实例名 |
输入框 |
输入要连接数据库对应的实例名 |
授权代理端口 |
输入框 |
输入加密设备上设置为授权代理端口值,授权代理端口用作表/库加密连接。 |
配置方式 |
作用 |
|
主机IP |
输入框 |
输入数据库所在服务器的IP地址 |
主机端口 |
输入框 |
输入数据库所在服务器的ssh服务端口 |
用户名 |
输入框 |
输入数据库所在服务器的操作系统用户名 |
密码 |
输入框 |
输入数据库所在服务器的操作系统用户对应的密码 |
字符集 |
输入框 |
输入数据库所在服务器操作系统的字符集编码 |
主机操作系统 |
自动获取 |
显示数据库所在服务器的操作系统类型 |
内核 |
自动获取 |
显示数据库所在服务器的操作系统内核信息 |
指标监控阈值 |
输入框 |
输入对数据库所在服务器操作系统的资源监控阈值,超过该值时暂停加密 |
注意事项:数据库服务器需要支持ssh服务连接。ssh服务开启方式如下:
a. 首先查看是否安装ssh:
¡ 查看ssh版本:ssh –V
¡ 查看ssh状态:sudo service sshd status
¡ 通过查看安装包的方式查看是否安装ssh:rpm –qa|grep ssh
b. 如果需要远程连接SSH,需要把22端口在防火墙上开放。开放防火墙22端口方法如下:
¡ 查看22端口:grep port /etc/ssh/sshd_config
¡ 开放端口命令: /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
¡ 保存:/etc/rc.d/init.d/iptables save
¡ 重启服务:/etc/init.d/iptables restart
¡ 查看端口是否开放:/sbin/iptables -L -n
c. 安装ssh服务方法如下:
¡ sudo yum install sshd
¡ 通过yum安装ssh: yum install ssh
d. 开启ssh服务方法如下:
¡ 执行命令/etc/init.d/sshd start
¡ 执行命令/etc/init.d/sshd stop
¡ 执行命令/etc/init.d/sshd restart
(3) 填写日志信息,点击测试日志连接,成功后点击“保存”按钮,后续可根据自己设置的路径在对应主机服务器上获取日志文件。日志路径获取方法如下:
· 查询数据库官方手册,得到数据库日志文件名称。
· 结合数据库官方手册以及实际数据库的安装目录情况,在数据库日志文件名输入框输入实际日志文件路径即可。
图4-32 获取日志文件
表4-10 添加日志信息参数说明
参数 |
配置方式 |
作用 |
数据库日志文件名 |
输入框 |
输入数据库服务器上的数据库日志文件路径,以便下载数据库日志文件 |
(4) 在数据源配置页面选择需要安装插件的数据源,点击插件按钮下的开关安装插件(插件操作需要手动)。
进入“Oracle表空间加密>表空间信息>新增加密表空间”页面选择已安装的数据库,点击“新增加密表空间”按钮进入“新增加密表空间”页面填写加密表空间名称、初始路径、初始大小、自动增长、最大空间、加密算法后点击“确定”按钮。
表4-11 新增加密表空间参数说明
参数 |
配置方式 |
作用 |
加密表空间名称 |
输入框 |
输入新建的加密表空间名称 |
新增文件 |
按钮 |
配置新建加密表空间参数:包括初始路径、初始大小、自动增长、最大空间 |
加密算法 |
下拉框 |
选择加密表空间的加密算法 |
进入“Oracle表空间加密>表空间加密>”页面选择已安装数据库,选择需要加密测试表移至加密表空间后勾选操作,点击“加密”按钮弹出加密窗口,点击“确定”按钮。
进入“Oracle表空间加密>表空间加密”页面点击需要重建索引的表后方的“查看”按钮进入重建索引页面,如图4-38所示,选择失效索引移至加密表空间,勾选操作,点击“确定”按钮后等待索引状态变为有效。
进入“Oracle表空间加密>Oracle表空间授权”页面选择已加密的数据库,选择已加密表点击权限设置下的“用户授权”按钮进入用户授权页面选择增、删、改、查操作,点击“确定”按钮;表空间用户授权页面
进入“Oracle表空间加密>表空间解密>”页面选择已安装的数据库,在需要解密的表后选择要移动到的未加密的表空间,勾选操作后点击“解密”按钮,出现解密弹窗,点击“确定”按钮。
图4-42 Oracle表空间解密页面
图4-43 Oracle表空间解密弹窗
图4-44 Oracle表空间解密成功
进入“Oracle表空间加密>表空间加密>”页面选择已安装的数据库,点击已完成解密的表后方的“查看”按钮进入重建索引页面所示;选择失效索引移至表空间,勾选操作,点击“确定”按钮后等待索引状态变为有效。
(1) 数据库连接步骤参考配置步骤
(2) 对加密后的表查询,加密后测试表移到加密表空间下。通过数据库加密与访问控制系统IP+授权代理端口访问,未授权用户无法查询加密表数据。已授权用户可以正常查询加密表数据。.
(3) 对解密后的表查询,解密后测试表移到新表空间下。用户可以正常查询解密后的表数据。
图4-51 解密测试表所在表空间
数据库加密与访问控制系统采用旁路部署方式,数据库加密与访问控制系统与用户数据库系统路由可达即可,现有系统及网络拓扑均无需改动。
图4-53 组网图
按照组网图组网。
(1) 登录数据库加密与访问控制系统
(2) 添加数据源
(3) 数据表加密
(4) mysql表空间授权
(5) 数据表解密
在浏览器中输入URL:https://服务器IP地址:9595(如https://192.168.0.1:9595),进入管理平台登录页面,输入管理员用户名admin、输入密码(默认admin)、输入验证码,点击“登录”按钮。
图4-54 登录web页面
(1) 安全管理员登录管理平台,进入“数据源配置>添加数据源>”页面点击“添加数据源”按钮,进入添加数据源窗口,填写数据库信息,点击测试数据库连接成功后,点击下一步;
表4-12 添加数据来源参数说明
参数 |
配置方式 |
作用 |
数据源配置名 |
输入框 |
自定义资产名称 |
数据库类型 |
下拉选择框 |
选择要连接的数据源类型 |
版本 |
下拉选择框 |
选择要连接的数据库版本 |
数据库IP |
输入框 |
输入要连接的数据库IP地址 |
数据库端口 |
输入框 |
输入要连接的数据库端口地址 |
用户名 |
输入框 |
输入要连接的数据库账号,建议为TDEINSTALL |
密码 |
输入框 |
输入要连接数据库账号对应的数据库密码 |
实例名 |
输入框 |
输入要连接数据库对应的实例名 |
授权代理端口 |
输入框 |
输入加密设备上设置为授权代理端口值,授权代理端口用作表/库加密连接。 |
(2) 填写主机信息,点击测试主机连接,成功后点击下一步;
表4-13 添加主机信息参数说明
参数 |
配置方式 |
作用 |
主机IP |
输入框 |
输入数据库所在服务器的IP地址 |
主机端口 |
输入框 |
输入数据库所在服务器的ssh服务端口 |
用户名 |
输入框 |
输入数据库所在服务器的操作系统用户名 |
密码 |
输入框 |
输入数据库所在服务器的操作系统用户对应的密码 |
字符集 |
输入框 |
输入数据库所在服务器操作系统的字符集编码 |
主机操作系统 |
自动获取 |
显示数据库所在服务器的操作系统类型 |
内核 |
自动获取 |
显示数据库所在服务器的操作系统内核信息 |
指标监控阈值 |
输入框 |
输入对数据库所在服务器操作系统的资源监控阈值,超过该值时暂停加密 |
注意事项:数据库服务器需要支持ssh服务连接。ssh服务开启方式如下:
a. 首先查看是否安装ssh:
¡ 查看ssh版本:ssh –V
¡ 查看ssh状态:sudo service sshd status
¡ 通过查看安装包的方式查看是否安装ssh:rpm –qa|grep ssh
b. 如果需要远程连接SSH,需要把22端口在防火墙上开放。开放防火墙22端口方法如下:
¡ 查看22端口:grep port /etc/ssh/sshd_config
¡ 开放端口命令: /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
¡ 保存:/etc/rc.d/init.d/iptables save
¡ 重启服务:/etc/init.d/iptables restart
¡ 查看端口是否开放:/sbin/iptables -L -n
c. 安装ssh服务方法如下:
¡ sudo yum install sshd
¡ 通过yum安装ssh: yum install ssh
d. 开启ssh服务方法如下:
¡ 执行命令/etc/init.d/sshd start
¡ 执行命令/etc/init.d/sshd stop
¡ 执行命令/etc/init.d/sshd restart
(3) 填写日志信息,点击测试日志连接,成功后点击“保存”按钮,后续可根据自己设置的路径在对应主机服务器上获取日志文件。日志路径获取方法如下:
· 查询数据库官方手册,得到数据库日志文件名称。
· 结合数据库官方手册以及实际数据库的安装目录情况,在数据库日志文件名输入框输入实际日志文件路径即可。
图4-56 测试日志连接页面
图4-57 获取日志文件
表4-14 添加日志信息参数说明
参数 |
配置方式 |
作用 |
数据库日志文件名 |
输入框 |
输入数据库服务器上的数据库日志文件路径,以便下载数据库日志文件 |
进入“mysql表加密>数据表加密>”页面选择已安装数据库,选择需要加密测试表后勾选操作,点击“加密”按钮弹出加密窗口,点击“确定”按钮。
图4-58 数据表加密页面
图4-59 数据表加密完成
进入“mysql表空间加密>mysql表空间授权”页面选择已加密的数据库,选择已加密表点击权限设置下的“用户授权”按钮进入用户授权页面选择增、删、改、查操作,点击“确定”按钮。
图4-60 表空间用户授权页面
图4-61 进行表空间用户授权
进入“mysql表加密>数据表解密>”页面选择已安装的数据库,在需要解密的表上勾选操作后,点击“解密”按钮。
图4-62 mysql数据表解密页面
图4-63 mysql数据表解密成功
(1) 数据库连接步骤参考配置步骤。
(2) 对加密后的表查询,通过数据库加密与访问控制系统IP+授权代理端口访问,未授权用户无法查询加密表数据。已授权用户可以正常查询加密表数据。.
图4-64 未授权用户查询加密表数据
图4-65 已授权用户查询加密表数据
(3) 对解密后的表查询,用户可以正常查询解密后的表数据。
图4-66 查询解密表数据
数据库加密与访问控制系统采用旁路部署方式,数据库加密与访问控制系统与用户数据库系统路由可达即可,现有系统及网络拓扑均无需改动。
图4-67 组网图
按照组网图组网。
(1) 登录数据库加密与访问控制系统
(2) 添加数据源并安装插件
(3) 插件配置
(4) 数据库加密
(5) 数据库解密
在浏览器中输入URL:https://服务器IP地址:9595(如https://192.168.0.1:9595),进入管理平台登录页面,输入管理员用户名admin、输入密码(默认admin)、输入验证码,点击“登录”按钮。
图4-68 登录web页面
(1) 安全管理员登录管理平台,进入“数据源配置>添加数据源>”页面点击“添加数据源”按钮,进入添加数据源窗口,填写数据库信息,点击测试数据库连接成功后,点击下一步;
图4-69 添加测试数据库连接页面
表4-15 添加数据来源参数说明
参数 |
配置方式 |
作用 |
数据源配置名 |
输入框 |
自定义资产名称 |
数据库类型 |
下拉选择框 |
选择要连接的数据源类型 |
版本 |
下拉选择框 |
选择要连接的数据库版本 |
数据库IP |
输入框 |
输入要连接的数据库IP地址 |
数据库端口 |
输入框 |
输入要连接的数据库端口地址 |
用户名 |
输入框 |
输入要连接的数据库账号,建议为TDEINSTALL |
密码 |
输入框 |
输入要连接数据库账号对应的数据库密码 |
实例名 |
输入框 |
输入要连接数据库对应的实例名 |
授权代理端口 |
输入框 |
输入加密设备上设置为授权代理端口值,授权代理端口用作表/库加密连接。 |
(2) 填写主机信息,点击测试主机连接,成功后点击下一步;
图4-70 测试主机连接页面
表4-16 添加主机信息参数说明
参数 |
配置方式 |
作用 |
主机IP |
输入框 |
输入数据库所在服务器的IP地址 |
主机端口 |
输入框 |
输入数据库所在服务器的ssh服务端口 |
用户名 |
输入框 |
输入数据库所在服务器的操作系统用户名 |
密码 |
输入框 |
输入数据库所在服务器的操作系统用户对应的密码 |
字符集 |
输入框 |
输入数据库所在服务器操作系统的字符集编码 |
主机操作系统 |
自动获取 |
显示数据库所在服务器的操作系统类型 |
内核 |
自动获取 |
显示数据库所在服务器的操作系统内核信息 |
指标监控阈值 |
输入框 |
输入对数据库所在服务器操作系统的资源监控阈值,超过该值时暂停加密 |
注意事项:数据库服务器需要支持ssh服务连接。ssh服务开启方式如下:
a. 首先查看是否安装ssh:
¡ 查看ssh版本:ssh –V
¡ 查看ssh状态:sudo service sshd status
¡ 通过查看安装包的方式查看是否安装ssh:rpm –qa|grep ssh
b. 如果需要远程连接SSH,需要把22端口在防火墙上开放。开放防火墙22端口方法如下:
¡ 查看22端口:grep port /etc/ssh/sshd_config
¡ 开放端口命令: /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
¡ 保存:/etc/rc.d/init.d/iptables save
¡ 重启服务:/etc/init.d/iptables restart
¡ 查看端口是否开放:/sbin/iptables -L -n
c. 安装ssh服务方法如下:
¡ sudo yum install sshd
¡ 通过yum安装ssh: yum install ssh
d. 开启ssh服务方法如下:
¡ 执行命令/etc/init.d/sshd start
¡ 执行命令/etc/init.d/sshd stop
¡ 执行命令/etc/init.d/sshd restart
(3) 填写日志信息,点击测试日志连接,成功后点击“保存”按钮,后续可根据自己设置的路径在对应主机服务器上获取日志文件。日志路径获取方法如下:
· 查询数据库官方手册,得到数据库日志文件名称。
· 结合数据库官方手册以及实际数据库的安装目录情况,在数据库日志文件名输入框输入实际日志文件路径即可。
图4-71 测试日志连接页面
图4-72 获取日志文件
表4-17 添加日志信息参数说明
参数 |
配置方式 |
作用 |
数据库日志文件名 |
输入框 |
输入数据库服务器上的数据库日志文件路径,以便下载数据库日志文件 |
(4) 在数据源配置页面选择需要安装插件的数据源,点击插件按钮下的开关安装插件(插件操作需要手动)。
图4-73 安装插件
进入“sqlserver库加密>插件配置”页面,点击“操作按钮”,填写密钥保存路径,点击“确定”按钮后,点击安装插件按钮,安装成功后如图。
图4-74 操作按钮
图4-75 设置密钥保存路径
图4-76 安装插件
进入“sqlserver库加密>数据库加密”页面选择已安装数据库,选择“加密算法”后,选择需要加密测试表,点击“加密”按钮。
图4-77 数据库加密页面
图4-78 数据库加密完成
进入“sqlserver库加密>数据库解密”页面选择已安装的数据库,在需要解密的表后勾选操作后点击“解密”按钮。
图4-79 数据库解密界面
图4-80 数据库解密成功
(1) 数据库连接步骤参考配置步骤。
(2) 可在前台界面通过查看加解密状态验证是否加解密成功,详见配置步骤。
数据库加密与访问控制系统采用旁路部署方式,数据库加密与访问控制系统与用户数据库系统路由可达即可,现有系统及网络拓扑均无需改动。
图4-81 组网图
按照组网图组网。
(1) 登录数据库加密与访问控制系统
(2) 添加数据源并安装插件
(3) kingbase表加解密
在浏览器中输入URL:https://服务器IP地址:9595(如https://192.168.0.1:9595),进入管理平台登录页面,输入管理员用户名admin、输入密码(默认admin)、输入验证码,点击“登录”按钮。
图4-82 登录web页面
(1) 安全管理员登录管理平台,进入“数据源配置>添加数据源>”页面点击“添加数据源”按钮,进入添加数据源窗口,填写数据库信息,点击测试数据库连接成功后,点击下一步;
图4-83 添加测试数据库连接页面
表4-18 添加数据来源参数说明
参数 |
配置方式 |
作用 |
数据源配置名 |
输入框 |
自定义资产名称 |
数据库类型 |
下拉选择框 |
选择要连接的数据源类型 |
版本 |
下拉选择框 |
选择要连接的数据库版本 |
数据库IP |
输入框 |
输入要连接的数据库IP地址 |
数据库端口 |
输入框 |
输入要连接的数据库端口地址 |
用户名 |
输入框 |
输入要连接的数据库账号,建议为TDEINSTALL |
密码 |
输入框 |
输入要连接数据库账号对应的数据库密码 |
实例名 |
输入框 |
输入要连接数据库对应的实例名 |
授权代理端口 |
输入框 |
输入加密设备上设置为授权代理端口值,授权代理端口用作表/库加密连接。 |
(2) 填写主机信息,点击测试主机连接,成功后点击下一步;
图4-84 测试主机连接页面
表4-19 添加主机信息参数说明
参数 |
配置方式 |
作用 |
主机IP |
输入框 |
输入数据库所在服务器的IP地址 |
主机端口 |
输入框 |
输入数据库所在服务器的ssh服务端口 |
用户名 |
输入框 |
输入数据库所在服务器的操作系统用户名 |
密码 |
输入框 |
输入数据库所在服务器的操作系统用户对应的密码 |
字符集 |
输入框 |
输入数据库所在服务器操作系统的字符集编码 |
主机操作系统 |
自动获取 |
显示数据库所在服务器的操作系统类型 |
内核 |
自动获取 |
显示数据库所在服务器的操作系统内核信息 |
指标监控阈值 |
输入框 |
输入对数据库所在服务器操作系统的资源监控阈值,超过该值时暂停加密 |
注意事项:数据库服务器需要支持ssh服务连接。ssh服务开启方式如下:
a. 首先查看是否安装ssh:
¡ 查看ssh版本:ssh –V
¡ 查看ssh状态:sudo service sshd status
¡ 通过查看安装包的方式查看是否安装ssh:rpm –qa|grep ssh
b. 如果需要远程连接SSH,需要把22端口在防火墙上开放。开放防火墙22端口方法如下:
¡ 查看22端口:grep port /etc/ssh/sshd_config
¡ 开放端口命令: /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
¡ 保存:/etc/rc.d/init.d/iptables save
¡ 重启服务:/etc/init.d/iptables restart
¡ 查看端口是否开放:/sbin/iptables -L -n
c. 安装ssh服务方法如下:
¡ sudo yum install sshd
¡ 通过yum安装ssh: yum install ssh
d. 开启ssh服务方法如下:
¡ 执行命令/etc/init.d/sshd start
¡ 执行命令/etc/init.d/sshd stop
¡ 执行命令/etc/init.d/sshd restart
(3) 填写日志信息,点击测试日志连接,成功后点击“保存”按钮,后续可根据自己设置的路径在对应主机服务器上获取日志文件。日志路径获取方法如下:
· 查询数据库官方手册,得到数据库日志文件名称。
· 结合数据库官方手册以及实际数据库的安装目录情况,在数据库日志文件名输入框输入实际日志文件路径即可。
图4-85 测试日志连接页面
图4-86 获取日志文件
表4-20 添加日志信息参数说明
参数 |
配置方式 |
作用 |
数据库日志文件名 |
输入框 |
输入数据库服务器上的数据库日志文件路径,以便下载数据库日志文件 |
进入“kingbase表加密>kingbase表加解密”页面选择已安装数据库,选择需要加密测试表移至加密表空间后,点击“操作”按钮。选择已加密的表,点击操作按钮,则可完成解密
图4-87 kingbase表加密页面
图4-88 kingbase表加密成功
图4-89 kingbase表解密完成
(1) 数据库连接步骤参考配置步骤。
(2) 可在前台界面通过查看加解密状态验证是否加解密成功,详见配置步骤。