插件简介
src_restrict是KingbaseES的一个扩展插件,主要用于支持来源限制功能,该功能通过黑白名单来实现。插件src_restrict默认已经加载。
查看插件是否加载
show shared_preload_libraries;
配置插件src_restrict
插件默认版本1.0
test=> select * from sys_available_extensions where name ='src_restrict';
name | default_version | installed_version | comment
--------------+-----------------+-------------------+---------------------
src_restrict | 1.0 | 1.0 | src restrict plugin
(1 row)
src_restrict.enable:是否允许使用黑白名单功能,取值范围为true或者false ,缺省值为true。
TEST=# \c - sso
You are now connected to database "TEST" as user "sso".
TEST=> show src_restrict.enable
TEST-> ;
src_restrict.enable
---------------------
on
(1 row)
插件src_restrict使用方法
系统函数
添加来源限制的规则,可通过参数选择配置白名单或黑名单。
src_restrict.add_rules(
filter_type int,
rule_user text,
rule_ip text,
outrule_ip text)
参数说明
filter_type
限制规则的类型,0为白名单,1为黑名单。
rule_user
限制的用户名,多个用户时需使用逗号分隔,null表示限制所有用户。当用户名中存在特殊字符时,请将该用户名使用双引号括起来,避免用户名识别失败。
用户名参数最大长度255。
rule_ip
限制的IP,多个IP之间需使用逗号分隔,null表示限制所有IP。
允许使用*号进行IP网段匹配,但网段后不允许出现具体IP,例如192.168.*.123。
outrule_ip
不受限制的IP,与rule_ip相同。
不受限制仅表示该参数与rule_ip的类型相反,例如filter_type为0,则rule_ip为白名单,outrule_ip为黑名单,不影响黑白名单优先级。
系统函数
删除来源限制规则。
src_restrict.remove_rules(
filter_type int,
rule_user text,
rule_ip text)
参数说明
filter_type
规则的类型,0为白名单,1为黑名单。
rule_user
规则的用户名,多个用户时需使用逗号分隔,null等于all。当用户名中存在特殊字符时,请将该用户名使用双引号括起来,避免用户名识别失败。
用户名参数最大长度255。
rule_ip
规则的IP,只允许删除一个IP,不支持删除多个规则,null等于0.0.0.0/0。
允许使用*号进行IP网段匹配,但网段后不允许出现具体IP,例如192.168.*.123。
查看规则限制视图
TEST=> select * from src_restrict.show_rules;
filter_type | rule_user | rule_ip | netmask
-------------+-----------+-----------+-----------------------------------------
allow | {all} | |
allow | {all} | 127.0.0.1 | 255.255.255.255
allow | {all} | 0.0.0.0 | 0.0.0.0
allow | {all} | ::1 | ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
allow | {all} | :: | ::
allow | {all} | |
allow | {all} | 127.0.0.1 | 255.255.255.255
allow | {all} | ::1 | ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
(8 rows)
测试示例
\c - sso
添加对用户u1,IP地址为192.168.1.2的黑名单规则
TEST=> select src_restrict.add_rules(1, 'u1', '192.168.56.3', '');
add_rules
-----------
t
(1 row)
查看当前黑白名单,多了一条filter_type为reject的条目
TEST=> select * from src_restrict.show_rules;
filter_type | rule_user | rule_ip | netmask
-------------+-----------+--------------+-----------------------------------------
allow | {all} | |
allow | {all} | 127.0.0.1 | 255.255.255.255
allow | {all} | 0.0.0.0 | 0.0.0.0
allow | {all} | ::1 | ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
allow | {all} | :: | ::
allow | {all} | |
allow | {all} | 127.0.0.1 | 255.255.255.255
allow | {all} | ::1 | ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
reject | {u1} | 192.168.56.3 | 255.255.255.255
(9 rows)
需要sso用户reload后黑名单生效
TEST=> select sys_reload_conf();
sys_reload_conf
-----------------
t
(1 row)
退出当前会后会再次登录已经被禁止
[kingbase7@localhost ~]$ ksql -h 192.168.56.3 -U u1 test
ksql: error: could not connect to server: FATAL: no sys_hba.conf entry for host "192.168.56.3", user "u1", database "test", SSL off
删除刚添加的规则
select src_restrict.remove_rules(1, 'u1', '192.168.56.3');
需要sso用户reload后生效
TEST=> select sys_reload_conf();
sys_reload_conf
-----------------
t
(1 row)
删除规则后可以用u1用户登录数据库
[kingbase7@localhost data]$ ksql -h 192.168.56.3 -U u1 test
Password for user u1:
ksql (V8.0)
Type "help" for help.
卸载插件
在kingbase.conf文件中shared_preload_libraries中将对应插件删除后重启数据库。
src_restrict扩展插件通常随着KingbaseES安装包一并升级。通常情况下用户无须单独升级插件。
- src_restrict KingbaseES 插件 restrict srcsrc_restrict kingbasees插件restrict src_restrict restricted restrict restriction install_failed_user_restricted restrict事务range abap appropriate restricted sql developer install_failed_user_restricted application restricted require_once open_basedir restriction warning