本文作者：ITshaomai

引言

在数据泄露事件频发的今天，数据库作为企业核心资产的载体，其安全性直接关系到业务命脉。openGauss作为国产高性能数据库，提供了一套完善的安全加固方案。本文基于官方文档《数据库加固概述》，从实践角度解析关键加固策略及其影响，助你走好安全与易用性的钢丝绳。

一、为什么必须加固？

openGauss默认配置以"开箱即用"为目标，但生产环境需主动加固以实现：

CIA三要素保障：保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）
风险防控：阻断未授权访问、SQL注入、暴力破解等攻击路径
合规需求：满足等保2.0、GDPR等安全规范
关键认知：加固的本质是安全与易用性的权衡，需根据业务场景定制策略。

二、十大加固领域核心实践

1. 连接安全

非默认端口：修改port（默认5432），降低扫描风险
连接数管控：

ALTER USER app_user CONNECTION LIMIT 50; – 限制用户并发连接数
ALTER DATABASE prod_db CONNECTION LIMIT 200; – 限制数据库连接数
超时控制：authentication_timeout=60s（默认值），防止僵死连接占用资源

2. 认证与密码安全

强制修改初始用户密码：安装后首次登录必须重置空密码！
密码策略强化：

CREATE ROLE user1 PASSWORD ‘Complex@123’ VALID UNTIL ‘2026-01-01’; – 设有效期
SET password_effect_time = 90; – 密码90天过期
SET failed_login_attempts = 5; – 5次失败锁定账号（默认10次）
加密迭代：auth_iteration_count≥10000（默认值），抵御彩虹表攻击

3. 权限最小化原则

禁用PUBLIC权限：

REVOKE CREATE ON SCHEMA public FROM PUBLIC; – 禁止公共模式建表
REVOKE EXECUTE ON FUNCTION sec_func() FROM PUBLIC; – 禁执行高危函数

三权分立：

SET enableSeparationOfDuty = on; – 限制系统管理员权限
SET enable_copy_server_files = off; – 禁止管理员COPY服务端文件

4. 审计与日志

开启全量审计：

SET audit_enabled = on; – 全局审计开关
SET audit_dml_state_select = 1; – 审计SELECT操作（性能敏感！）

日志滚动策略：

audit_rotation_size = 100MB – 单审计文件最大100MB
audit_space_limit = 10GB – 审计日志总空间上限

避坑指南：审计日志默认二进制存储于pg_audit目录，需配套部署日志分析工具（如ELK）。

三、加固带来的"副作用"与应对

核心矛盾包括：

四、个人实战建议

分阶段实施：
测试环境 → 预发环境 → 生产环境（逐级验证兼容性）
监控先行：

SELECT * FROM pg_stat_activity; – 实时连接监控
SELECT rolname, rolconnlimit FROM pg_roles; – 用户连接数检查

自动化加固：
使用Ansible/Terraform批量配置postgresql.conf、pg_hba.conf
定期审计：
每月检查pg_hba.conf白名单、用户有效期、密码强度