AnalyticDB PostgreSQL版7.0版本對資料庫帳號的密碼以及SSL的安全性方面均進行了增強。
密碼
新增了SCRAM-SHA-256加密方式,相比MD5加密方式,具有更高的安全性。
目前AnalyticDB PostgreSQL版預設使用MD5加密方式,如需使用SCRAM-SHA-256加密方式,可以串連資料庫後執行以下語句開啟:
SET password_encryption to 'SCRAM-SHA-256'重要
AnalyticDB PostgreSQL版7.0版本不支援建立UNENCRYPTED(無密碼)的使用者。
SSL
新增pg_stat_ssl視圖用於查看SSL串連情況。查詢語句如下:
SELECT * FROM pg_stat_ssl;返回樣本如下:
pid | ssl | version | cipher | bits | compression | client_dn | client_serial | issuer_dn --------+-----+---------+-----------------------------+------+-------------+-----------+---------------+----------- 508802 | f | | | | | | | 508808 | f | | | | | | | 508815 | f | | | | | | | 509930 | t | TLSv1.2 | ECDHE-RSA-AES256-GCM-SHA384 | 256 | f | | | 508800 | f | | | | | | | 508799 | f | | | | | | | 508801 | f | | | | | | | (7 rows)在ssl_extension_info()模組中添加
ssl_extension_info()函數。ssl_extension_info()函數用於列印當前串連使用的X509認證中存在的SSL擴充的資訊。樣本如下:啟用sslinfo模組。
CREATE EXTENSION sslinfo;列印當前串連使用的X509認證中存在的SSL擴充的資訊。
SELECT ssl_extension_info();
允許SSL配置在reload載入期間更新。
通過使用
pg_ctl reload、SELECT pg_reload_conf()或發送SIGHUP訊號幾種方式,可以在不重啟伺服器的情況下重新設定SSL。重要如果伺服器的SSL密鑰要求輸入密碼,那麼重新載入SSL配置的任務將失敗。