OceanBase数据库等保三级安全配置实战指南

1. OceanBase数据库等保三级测评实战指南

作为一款国产分布式数据库，OceanBase在金融、政务等对安全性要求极高的领域应用广泛。但在实际等保测评过程中，许多DBA和运维人员常常面临一个困境：虽然知道等保三级的要求，却不知道如何在OceanBase上具体落地执行。本文将基于GB/T 22239-2019等保三级"安全计算环境"要求，结合我在多家金融机构的OceanBase等保测评实战经验，提供一套可直接复用的完整解决方案。

2. 测评环境准备与基础配置

2.1 测评环境要求

在开始测评前，需要确保环境满足以下条件：

• OceanBase版本：4.2.1及以上（包含4.3.x系列）
• 配套组件：
  • OBProxy 4.2+
  • OCP 4.2+
  • obdumper/obloader 4.2+
• 操作系统：CentOS 7.6/Anolis OS 7.9/EulerOS 2.0等主流Linux发行版
• 连接工具：obclient或mysql客户端（建议使用obclient以获得完整功能支持）

重要提示：所有测评命令需要在SYS租户下执行，使用root@sys或sys用户。普通业务租户的管理员权限可能无法获取完整的系统信息。

2.2 基础连接配置

为了方便测评过程中的命令执行，建议提前设置以下环境变量：

bash复制export OB_HOME=/home/admin/oceanbase
export PATH=$OB_HOME/bin:$PATH
alias obclient='obclient -h127.1 -P2883 -uroot@sys -p'

对于需要频繁执行的场景，可以在~/.my.cnf中配置连接信息（注意文件权限设置为600）：

ini复制[client]
host=127.1
port=2883
user=root@sys
password=your_password

3. 身份鉴别安全测评（8.1.4.1）

3.1 账号唯一性检查

在OceanBase中，账号的唯一性由user和host组合确定。执行以下命令检查是否存在重复账号：

sql复制SELECT user,host FROM mysql.user;

达标要求：每个user+host组合必须唯一，不能存在完全相同的记录。

常见问题：有些系统在迁移过程中可能会意外创建重复账号，特别是在不同host上创建了相同用户名的账号。

3.2 空口令检查

空口令是严重的安全隐患，必须严格禁止。检查命令如下：

sql复制SELECT user,host FROM mysql.user WHERE authentication_string='';

达标要求：查询结果必须为空，任何账户都不允许设置空密码。

修复方案：如果发现空口令账户，立即设置强密码：

sql复制ALTER USER 'username'@'host' IDENTIFIED BY 'NewStrongPassword123!';

3.3 密码复杂度策略

OceanBase的MySQL模式和Oracle模式在密码复杂度检查上实现方式不同：

MySQL模式：

sql复制SHOW VARIABLES LIKE 'validate_password%';

关键参数说明：

• validate_password_policy：应设置为STRONG
• validate_password_length：最小长度建议≥10
• validate_password_mixed_case_count：至少包含大小写字母数
• validate_password_number_count：至少包含数字数
• validate_password_special_char_count：至少包含特殊字符数

Oracle模式：

sql复制SELECT limit FROM dba_profiles WHERE profile='DEFAULT' AND resource_name='PASSWORD_VERIFY_FUNCTION';

达标要求：MySQL模式需启用validate_password插件并配置STRONG策略；Oracle模式需配置密码验证函数。

3.4 密码有效期设置

检查密码有效期配置：

sql复制SHOW VARIABLES LIKE 'default_password_lifetime';

达标要求：密码有效期≤90天（值为86400*90秒）

配置建议：

sql复制SET GLOBAL default_password_lifetime=90;

3.5 登录失败锁定

OceanBase通过connection_control插件实现登录失败锁定功能。检查配置：

sql复制SHOW PLUGINS LIKE 'connection_control';
SHOW VARIABLES LIKE 'connection_control%';

关键参数：

• connection_control_failed_connections_threshold：失败尝试阈值，建议≤5
• connection_control_min_connection_delay：最小延迟时间(毫秒)

达标要求：必须启用connection_control插件，且失败阈值≤5。

3.6 远程管理加密

检查SSL加密配置：

sql复制SHOW VARIABLES LIKE '%ssl%';

关键指标：

• have_ssl：必须为YES
• ob_ssl_enabled：必须为ON

OBProxy SSL配置：

sql复制alter proxyconfig set enable_client_ssl=true;
alter proxyconfig set enable_server_ssl=true;

达标要求：所有远程管理连接必须使用SSL加密，包括OBProxy的客户端和服务端连接。

3.7 会话超时设置

检查会话超时时间：

sql复制SHOW VARIABLES LIKE 'wait_timeout';

达标要求：wait_timeout≤600秒（10分钟）

配置建议：

sql复制SET GLOBAL wait_timeout=600;

4. 访问控制安全测评（8.1.4.2）

4.1 最小权限原则

检查业务账户权限：

sql复制SHOW GRANTS FOR 'app'@'%';

达标要求：业务账户只能拥有其功能所需的最小权限，禁止授予ALL PRIVILEGES或全局权限。

权限回收示例：

sql复制REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'app'@'%';
GRANT SELECT, INSERT, UPDATE ON dbname.* TO 'app'@'%';

4.2 默认账户处理

检查默认账户状态：

sql复制SELECT user,host FROM mysql.user WHERE user IN ('','root','test');

达标要求：必须删除或禁用所有默认账户、匿名账户和测试账户。

安全建议：

1. 重命名root账户：

sql复制RENAME USER 'root'@'%' TO 'new_admin_name'@'%';

2. 删除测试账户：

sql复制DROP USER 'test'@'%';

4.3 三权分立检查

OceanBase建议配置三类管理员：

1. 系统管理员：负责集群管理
2. 安全管理员：负责账户和权限管理
3. 审计管理员：负责审计日志管理

检查命令：

sql复制SELECT user,host FROM mysql.user WHERE user LIKE '%admin%';

达标要求：三类管理员角色必须由不同人员担任，账户权限分离。

4.4 管理终端限制

检查白名单配置：

sql复制SELECT * FROM __all_white_list;

达标要求：只允许堡垒机或特定管理终端的IP访问数据库管理端口。

配置示例：

sql复制ALTER SYSTEM SET whitelist='192.168.1.100,192.168.1.101';

5. 安全审计配置（8.1.4.3）

5.1 审计功能启用

检查审计功能状态：

MySQL模式：

sql复制SHOW VARIABLES LIKE 'ob_audit_log_level';

Oracle模式：

sql复制SELECT value FROM v$parameter WHERE name='audit_trail';

达标要求：MySQL模式需设置为ALL，Oracle模式需设置为DB或OS。

5.2 审计策略覆盖

检查审计策略：

Oracle模式：

sql复制SELECT policy_name, status FROM dba_audit_policies;

达标要求：审计策略必须覆盖登录尝试、DDL操作、DML操作和权限变更等关键事件。

5.3 审计日志保留

检查审计日志配置：

sql复制SHOW PARAMETERS LIKE 'audit_file_max_size';
SHOW PARAMETERS LIKE 'audit_file_expire_time';

达标要求：

• 单个审计文件≥100MB
• 审计日志保留时间≥180天

配置建议：

sql复制ALTER SYSTEM SET audit_file_max_size='100M';
ALTER SYSTEM SET audit_file_expire_time='180d';

5.4 审计日志权限

检查审计日志文件权限：

bash复制ls -l /home/admin/oceanbase/log/audit/

达标要求：审计日志文件只能由admin用户读写，权限设置为600。

6. 入侵防范措施（8.1.4.4）

6.1 补丁与版本管理

检查数据库版本和补丁：

sql复制SELECT version();

bash复制rpm -qa | grep oceanbase

达标要求：

• 运行版本≥4.2.1
• 补丁更新时间≤30天

6.2 最小化安装原则

检查系统服务：

bash复制systemctl list-unit-files --state=enabled | grep -vE "ob|ssh|audit"

达标要求：只启用OceanBase、SSH和审计等必要服务，禁用所有非必要服务。

6.3 连接数限制

检查最大连接数设置：

sql复制SHOW VARIABLES LIKE 'max_connections';

达标要求：根据业务峰值合理设置，防止DDoS攻击导致资源耗尽。

配置建议：

sql复制SET GLOBAL max_connections=500;

7. 数据备份与恢复（8.1.4.9）

7.1 物理备份检查

检查物理备份配置：

bash复制obdumper --help | head -3
crontab -l | grep obdumper

达标要求：

• 每日全量备份
• 备份保留≥30天
• 定期进行恢复演练

7.2 冗余部署检查

检查集群部署情况：

sql复制SELECT zone,svr_ip,svr_port FROM __all_server;

达标要求：至少3副本，且跨机房部署实现容灾。

8. 一键巡检脚本

以下脚本可自动执行大部分检查项：

bash复制#!/bin/bash
# OceanBase 4.x 等保三级一键巡检脚本
OB_USER="root@sys"
OB_PASS="your_password"
OB_HOST="127.0.0.1"
OB_PORT="2883"

function check_auth() {
  echo "===== 身份鉴别检查 ====="
  obclient -h$OB_HOST -P$OB_PORT -u$OB_USER -p$OB_PASS -e "
  SELECT '空口令账户',user,host FROM mysql.user WHERE authentication_string='';
  SHOW VARIABLES LIKE 'validate_password%';
  SHOW VARIABLES LIKE 'default_password_lifetime';
  SHOW VARIABLES LIKE 'connection_control%';
  SHOW VARIABLES LIKE '%ssl%';
  SHOW VARIABLES LIKE 'wait_timeout';
  "
}

function check_access() {
  echo "===== 访问控制检查 ====="
  obclient -h$OB_HOST -P$OB_PORT -u$OB_USER -p$OB_PASS -e "
  SELECT user,host FROM mysql.user WHERE user IN ('','root','test');
  SELECT * FROM __all_white_list;
  "
}

function check_audit() {
  echo "===== 安全审计检查 ====="
  obclient -h$OB_HOST -P$OB_PORT -u$OB_USER -p$OB_PASS -e "
  SHOW VARIABLES LIKE 'ob_audit_log_level';
  SHOW PARAMETERS LIKE 'audit_file%';
  "
  ls -l /home/admin/oceanbase/log/audit/
}

function check_backup() {
  echo "===== 数据备份检查 ====="
  crontab -l | grep obdumper
  ls -l /backup/ob/ 2>/dev/null || echo "备份目录未配置"
}

# 执行所有检查
check_auth
check_access
check_audit
check_backup

9. 测评常见问题与解决方案

在实际测评过程中，经常会遇到以下典型问题：

1. SSL配置不生效

   • 检查OBProxy和OBServer的SSL配置是否同时启用
   • 确保证书文件存在于所有节点的~/oceanbase/wallet/目录
   • 使用openssl命令验证SSL握手是否成功

2. 审计日志不完整

   • 检查ob_audit_log_level参数是否为ALL
   • 确认磁盘空间充足，审计服务正常运行
   • 检查admin用户对审计日志目录的读写权限

3. 三权分立实现困难

   • 使用OceanBase的角色功能实现权限分离
   • 为每类管理员创建独立账户并授予最小必要权限
   • 定期审计管理员账户的操作日志

4. 备份恢复验证失败

   • 检查obdumper/obloader版本是否与数据库版本匹配
   • 确认备份文件完整性（md5校验）
   • 测试恢复时使用与生产环境隔离的测试集群

10. 测评报告编写要点

完成技术测评后，需要整理测评报告，重点关注：

1. 不符合项说明

   • 准确描述不符合等保要求的具体配置
   • 提供证据截图或命令输出
   • 评估风险等级（高/中/低）

2. 整改建议

   • 提供具体的配置修改命令
   • 建议整改时限（立即/7天内/30天内）
   • 对于复杂问题，提供分步解决方案

3. 证据材料

   • 关键命令的输出结果
   • 配置文件截图
   • 工具扫描报告

在实际测评过程中，我发现很多问题其实源于对OceanBase特有架构的理解不足。比如，很多管理员会忽略OBProxy的独立安全配置，或者没有意识到SYS租户和普通租户在安全配置上的差异。通过本文提供的系统化检查方法和实操命令，应该能够帮助大家更高效地完成OceanBase的等保测评工作。