云服务器内容精选
-
用户在保证自身业务数据安全性上需要采取哪些措施? 建议用户在如下一些方面采取足够的措施以保障业务数据安全性: 对CloudPond所部署的地理位置及其相关基础设施的安全负责,并确保CloudPond与中心云之间的网络安全性和可用性。 建议用户对数据进行识别和分类;对敏感的数据默认加密;使用安全组、网络ACL(Access Control Lists)对资源实施网络访问控制。此外建议您使用云审计服务(Cloud Trace Service,CTS),对用户访问数据的行为进行审计。 当用户停止使用CloudPond前,请先对CloudPond上需要保留的数据进行转储。 CloudPond用户需要对IAM的账号授权进行严格管理,遵从最小授权的原则,为其他用户开通完成工作所需的最小权限,并定期对其权限范围进行审核。更多细节请参见IAM安全使用最佳实践。 父主题: 安全性
-
Redis实例是否支持SSL加密传输? Redis 6.0基础版实例SSL默认关闭,如需开启SSL加密传输,请参考SSL设置。 当前DCS实例在开启公网访问时(仅Redis 3.0实例支持),支持基于Stunnel的客户端与服务端TLS加密传输(参考文档:Stunnel安装和配置)。在开启公网访问时,指定的CA会为每个实例生成唯一的服务证书。客户端可以使用从服务控制台上下载的CA根证书,并在连接实例时提供该证书,对实例服务端进行认证并达到加密传输的目的。 Redis 4.0/5.0不支持SSL加密传输,仅支持明文传输。 父主题: 安全性
-
OBS数据删除或覆盖后是否可以恢复? 华为云无法恢复您主动删除、覆盖、配置规则自动删除或服务协议到期自动删除的OBS数据,请您谨慎操作。 可能导致数据被删除或覆盖的场景: 通过控制台、API、SDK、OBS Browser+、obsutil、obsfs方式删除对象。详情请参见删除对象。 通过控制台、API、SDK、OBS Browser+、obsutil、obsfs方式上传同名文件到OBS,会导致OBS内已有文件被覆盖。 如果您在生命周期规则中配置了定期删除文件的规则,OBS会根据生命周期的配置定期删除符合条件的文件。详情请参见生命周期管理。 如果您配置了跨区域复制规则,且选择的是增/删/改同步,则对源存储空间(桶)进行文件修改或删除操作时,操作会同步到目的Bucket。详情请参见跨区域复制。 没有正确的配置桶的访问权限,导致文件被他人恶意删除或覆盖。访问权限相关说明请参见权限管理。 如果账号欠费,会根据“客户等级”定义不同的保留期时长。进入保留期后您在OBS中存储的数据会予以保留,账号会处于受限状态。保留期满仍未缴清欠款,存储在OBS中的数据将被删除且无法恢复。详情请参见欠费和续费。 如何防止误删除或误覆盖: 权限控制 正确使用OBS提供的访问控制能力防止数据被删除或覆盖。详情请参见安全最佳实践。 OBS控制台支持敏感操作保护,开启后执行删除桶等敏感操作时,系统会进行身份验证,防止误删除数据。详情请参见敏感数据保护介绍。 开启多版本控制 利用多版本控制,您可以在一个桶中保留多个版本的对象,使您更方便地检索和还原各个版本,在意外操作或应用程序故障时快速恢复数据。详情请参见多版本控制。 跨区域复制到异地备份 您可以使用跨区域复制功能将数据复制到异地进行备份。详情请参见跨区域复制。 WORM保护对象 您可以通过WORM功能保护对象,在保护期内阻止删除或覆盖对象。详情请参见WORM。 父主题: 安全性
-
基本概念 以下为常见的基本概念,可以帮助用户减少学习Kerberos框架所花费的时间,有助于更好的理解Kerberos业务。以HDFS安全认证为例: TGT 票据授权票据(Ticket-Granting Ticket),由Kerberos服务生成,提供给应用程序与Kerberos服务器建立认证安全会话,该票据的默认有效期为24小时,24小时后该票据自动过期。 TGT申请方式(以HDFS为例): 通过HDFS提供的接口获取。 /** * login Kerberos to get TGT, if the cluster is in security mode * @throws IOException if login is failed */ private void login() throws IOException { // not security mode, just return if (! "kerberos".equalsIgnoreCase(conf.get("hadoop.security.authentication"))) { return; } //security mode System.setProperty("java.security.krb5.conf", PATH_TO_KRB5_CONF); UserGroupInformation.setConfiguration(conf); UserGroupInformation.loginUserFromKeytab(PRNCIPAL_NAME, PATH_TO_KEYTAB); } 通过客户端shell命令以kinit方式获取。 ST 服务票据(Server Ticket),由Kerberos服务生成,提供给应用程序与应用服务建立安全会话,该票据一次性有效。 ST的生成在FusionInsight产品中,基于hadoop-rpc通信,由rpc底层自动向Kerberos服务端提交请求,由Kerberos服务端生成。
-
结构 Kerberos的原理架构如图1所示,各模块的说明如表1所示。 图1 原理架构 表1 模块说明 模块 说明 Application Client 应用客户端,通常是需要提交任务(或者作业)的应用程序。 Application Server 应用服务端,通常是应用客户端需要访问的应用程序。 Kerberos 提供安全认证的服务。 KerberosAdmin 提供认证用户管理的进程。 KerberosServer 提供认证票据分发的进程。 步骤原理说明: 应用客户端(Application Client)可以是集群内某个服务,也可以是客户二次开发的一个应用程序,应用程序可以向应用服务提交任务或者作业。 应用程序在提交任务或者作业前,需要向Kerberos服务申请TGT(Ticket-Granting Ticket),用于建立和Kerberos服务器的安全会话。 Kerberos服务在收到TGT请求后,会解析其中的参数来生成对应的TGT,使用客户端指定的用户名的密钥进行加密响应消息。 应用客户端收到TGT响应消息后,解析获取TGT,此时,再由应用客户端(通常是rpc底层)向Kerberos服务获取应用服务端的ST(Server Ticket)。 Kerberos服务在收到ST请求后,校验其中的TGT合法后,生成对应的应用服务的ST,再使用应用服务密钥将响应消息进行加密处理。 应用客户端收到ST响应消息后,将ST打包到发给应用服务的消息里面传输给对应的应用服务端(Application Server)。 应用服务端收到请求后,使用本端应用服务对应的密钥解析其中的ST,并校验成功后,本次请求合法通过。
-
认证代码实例讲解 package com.huawei.bigdata.hdfs.examples; import java.io.IOException; import org.apache.hadoop.conf.Configuration; import org.apache.hadoop.fs.FileStatus; import org.apache.hadoop.fs.FileSystem; import org.apache.hadoop.fs.Path; import org.apache.hadoop.security.UserGroupInformation; public class KerberosTest { private static String PATH_TO_HDFS_SITE_XML = KerberosTest.class.getClassLoader().getResource("hdfs-site.xml") .getPath(); private static String PATH_TO_CORE_SITE_XML = KerberosTest.class.getClassLoader().getResource("core-site.xml") .getPath(); private static String PATH_TO_KEYTAB = KerberosTest.class.getClassLoader().getResource("user.keytab").getPath(); private static String PATH_TO_KRB5_CONF = KerberosTest.class.getClassLoader().getResource("krb5.conf").getPath(); private static String PRNCIPAL_NAME = "develop"; private FileSystem fs; private Configuration conf; /** * initialize Configuration */ private void initConf() { conf = new Configuration(); // add configuration files conf.addResource(new Path(PATH_TO_HDFS_SITE_XML)); conf.addResource(new Path(PATH_TO_CORE_SITE_XML)); } /** * login Kerberos to get TGT, if the cluster is in security mode * @throws IOException if login is failed */ private void login() throws IOException { // not security mode, just return if (! "kerberos".equalsIgnoreCase(conf.get("hadoop.security.authentication"))) { return; } //security mode System.setProperty("java.security.krb5.conf", PATH_TO_KRB5_CONF); UserGroupInformation.setConfiguration(conf); UserGroupInformation.loginUserFromKeytab(PRNCIPAL_NAME, PATH_TO_KEYTAB); } /** * initialize FileSystem, and get ST from Kerberos * @throws IOException */ private void initFileSystem() throws IOException { fs = FileSystem.get(conf); } /** * An example to access the HDFS * @throws IOException */ private void doSth() throws IOException { Path path = new Path("/tmp"); FileStatus fStatus = fs.getFileStatus(path); System.out.println("Status of " + path + " is " + fStatus); //other thing } public static void main(String[] args) throws Exception { KerberosTest test = new KerberosTest(); test.initConf(); test.login(); test.initFileSystem(); test.doSth(); } } Kerberos认证时需要配置Kerberos认证所需要的文件参数,主要包含keytab路径,Kerberos认证的用户名称,Kerberos认证所需要的客户端配置krb5.conf文件。 方法login()为调用hadoop的接口执行Kerberos认证,生成TGT票据。 方法doSth()调用hadoop的接口访问文件系统,此时底层RPC会自动携带TGT去Kerberos认证,生成ST票据。 以上代码可在安全模式下的HDFS二次开发样例工程中创建KerberosTest.java,运行并查看调测结果,具体操作过程请参考HDFS开发指南(安全模式)。
-
关闭SSL加密 在“实例管理”页面,选择指定的实例,单击实例名称。 在左侧导航栏中选择“HTAP实时分析”,单击目标HTAP实例名称,进入HTAP实例基本信息页面。 在“实例信息”模块的“SSL”处,单击。 图2 关闭SSL 在弹出框中,单击“是”,关闭SSL加密。 稍后可在“基本信息”页面,查看到SSL已关闭。 SSL关闭后,您可以通过非SSL方式连接HTAP实例,具体操作请参见通过JDBC方式连接。
-
请求消息 表2 参数说明 名称 是否必选 参数类型 说明 port 是 Integer 端口号。 RDS for MySQL端口号范围:大于等于1024,小于等于65535,不包含12017和33071。 RDS for PostgreSQL端口号范围:2100~9500。 对于RDS for SQL Server 2022 EE、2022 SE、2022 Web版、2019 EE、2019 SE、2019 Web版、2017 EE、2017 SE、2017 Web版:端口设置范围为1433和2100~9500(其中5050、5353、5355、5985和5986不可设置)。 除此之外的其他版本:端口设置范围为1433和2100~9500(其中5355、5985和5986不可设置)。
-
DCS是否使用哨兵模式管理Redis实例? Redis 4.0/5.0/6.0主备、读写分离实例,以及集群实例的每个分片(每个分片也是一个主备实例),都使用了哨兵模式(Sentinel)进行管理,Sentinel会一直监控主备节点是否正常运行,当主节点出现故障时,自动进行主备节点切换,切换完成后恢复正常访问,无需用户进行操作。 Sentinel对用户不可见,仅在服务内部中使用。 Redis 3.0不支持哨兵模式,使用的是keeplived进行监控,当主节点故障时进行主备切换,备节点自动接管服务,无需用户进行操作。 父主题: 安全性
-
账户说明 您在创建RDS for MariaDB数据库实例时,系统会自动为实例创建如下系统账户(用户不可使用),用于给数据库实例提供完善的后台运维管理服务。 删除、重命名、修改这些账户的密码和权限信息,会导致实例运行异常,请谨慎操作。 rdsAdmin:管理账户,用于查询和修改实例信息、故障排查、迁移、恢复等操作。 rdsRepl:复制账户,用于备实例或只读实例在主实例上同步数据。 rdsBackup:备份账户,用于后台的备份。 rdsMetric:指标监控账户,用于watchdog采集数据库状态数据。
-
账户密码复杂度设置 华为云关系型数据库服务Console端数据库密码复杂度,请参见购买实例中的数据库配置表格。 华为云关系型数据库对在客户端新创建的数据库用户设置了密码安全策略,安全策略如下: 口令长度至少8个字符。 口令至少包含大写字母、小写字母、数字和特殊字符各一个。 创建实例时,为用户提供了密码复杂度校验,由于root用户可以修改密码复杂度,安全起见,建议修改后的密码复杂度不低于华为云关系型数据库的初始化设置。
-
Redis的安全加固方面有哪些建议? 在众多开源缓存技术中,Redis无疑是目前功能最为强大,应用最多的缓存技术之一,但是原生Redis版本在安全方面非常薄弱,很多地方不满足安全要求,如果暴露在公网上,极易受到恶意攻击,导致数据泄露和丢失。 针对DCS的Redis实例,您在使用过程中,可参考如下建议: 网络连接配置 敏感数据加密后存储在Redis实例,且实例不开启公网访问。 对于敏感数据,尽量加密后存储。如无特殊需要,尽量不使用公网访问。 对安全组设置有限的、必须的允许访问规则。 安全组与VPC均是用于网络安全访问控制的配置,以端口最少放开原则配置安全组规则,降低网络入侵风险。 客户端应用所在ECS设置防火墙。 客户端应用所在的服务器建议配置防火墙过滤规则。 设置实例访问密码。 配置实例白名单。 Redis-cli使用 隐藏密码 安全问题:通过在redis-cli指定-a参数,密码会被ps出来,属于敏感信息。 解决方案:修改Redis源码,在main方法进入后,立即隐藏掉密码,避免被ps出来。 禁用脚本通过sudo方式执行 安全问题: redis-cli访问参数带密码敏感信息,会被ps出来,也容易被系统记录操作日志。 解决方案:改为通过API方式(Python可以使用redis-py)来安全访问,禁止通过sudo方式切换到dbuser账号使用redis-cli。 父主题: 安全性
-
响应消息 正常响应要素说明 表2 要素说明 名称 参数类型 说明 cert_info_list Array 证书列表。详情请参见表3。 表3 cert_info_list字段数据结构说明 名称 参数类型 说明 download_link String 下载链接。 category String 证书类型。枚举值: international national 正常响应样例 { "cert_info_list": [ { "category": "international", "download_link": "https://{region}.huaweicloud.com/rds/Certificate_Download.zip" } ] } 异常响应 请参见异常请求结果。
-
使用须知 开启或关闭SSL会导致实例重启,请谨慎操作。 在开启或关闭SSL时,文档数据库服务会进行一次重启,重启过程中每个节点会有一次约30秒的闪断,建议您安排好业务并确保应用有重连机制。 开启SSL,可以通过SSL方式连接数据库,具有更高的安全性。 目前已禁用不安全的加密算法,支持的安全加密算法对应的加密套件参考如下。 版本 支持的TLS版本 支持的加密算法套件 3.4 TLS 1.2 AES256-GCM-SHA384 AES128-GCM-SHA256 4.0 TLS 1.2 DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 用户的客户端所在服务器需要支持对应的TLS版本以及对应的加密算法套件,否则会连接失败。 关闭SSL,可以采用非SSL方式连接数据库。
-
账户密码等级设置 GaussDB(for MySQL)管理控制台上数据库密码复杂度,请参见购买实例中的数据库配置表格。 GaussDB(for MySQL)对在客户端新创建的数据库用户,设置了密码安全策略: 口令长度至少8个字符。 口令至少包含大写字母、小写字母、数字、特殊字符三种字符的组合,其中允许输入~!@#%^*-_=+?,()&$特殊字符。 创建实例时,为用户提供了密码复杂度校验,由于root用户可以修改密码复杂度,安全起见,建议修改后的密码复杂度不低于GaussDB(for MySQL)数据库的初始化设置。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格