告别root权限焦虑:手把手教你用普通用户(nom)在openEuler上安全部署openGauss数据库

张开发
2026/4/6 11:46:44 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

告别root权限焦虑:手把手教你用普通用户(nom)在openEuler上安全部署openGauss数据库
非root用户安全部署openGauss数据库的完整实践指南在当今企业级数据库部署场景中遵循最小权限原则已成为安全运维的黄金标准。本文将以openEuler 22.03为操作系统环境详细讲解如何仅通过普通用户nom完成openGauss数据库的安全部署全流程涵盖从前期准备到后期加固的完整工作链。1. 环境准备与权限规划部署前的系统环境准备是确保后续流程顺利的关键。我们首先需要在openEuler上创建专用用户并合理配置权限边界。创建nom用户并设置强密码sudo useradd -m -s /bin/bash nom sudo passwd nom为普通用户配置合理的文件系统权限是安全部署的基础。openGauss默认需要以下目录的读写权限安装目录/opt/software/openGauss数据目录/var/lib/opengauss/data日志目录/var/log/opengauss推荐使用ACL进行精细权限控制sudo mkdir -p /opt/software/openGauss /var/lib/opengauss/data /var/log/opengauss sudo setfacl -R -m u:nom:rwx /opt/software/openGauss sudo setfacl -R -m u:nom:rwx /var/lib/opengauss sudo setfacl -R -m u:nom:rwx /var/log/opengauss权限配置对照表目录路径所需权限推荐授权方式/opt/software/openGaussrwxsetfacl/var/lib/opengauss/datarwxsetfacl/var/log/opengaussrwxsetfacl/etc/security/limits.confrwsudo编辑提示生产环境中建议为每个组件创建独立用户本文为简化演示使用单一用户2. 解决普通用户的系统限制普通用户部署时常遇到系统资源限制问题需要预先调整相关配置。2.1 修改limits.conf文件编辑/etc/security/limits.conf文件添加以下内容nom soft core 102400 nom hard core 102400 nom soft nofile 819200 nom hard nofile 819200 nom soft nproc 65535 nom hard nproc 65535 nom soft stack 65535 nom hard stack 65535验证限制是否生效su - nom ulimit -a2.2 处理库文件兼容性问题openEuler 22.03与openGauss的库文件版本差异需要手动解决sudo ln -s /usr/lib64/libreadline.so.8 /usr/lib64/libreadline.so.7 sudo ldconfig常见库文件问题解决方案libreadline版本不匹配创建软链接libssl版本问题安装兼容版本或创建符号链接libz缺失安装zlib-devel包3. 安全安装流程实操完成前期准备后我们开始实际的安装部署过程。3.1 获取安装包并解压以nom用户身份操作wget https://opengauss.org/packages/latest/openGauss-Lite.tar.gz tar -xzf openGauss-Lite.tar.gz -C /opt/software/openGauss3.2 初始化数据库创建数据库配置文件clusterconfig.xmlROOT CLUSTER PARAM nameclusterName valueopengauss/ PARAM namenodeNames valuenode1/ PARAM namebackIp1s value127.0.0.1/ PARAM namegaussdbAppPath value/opt/software/openGauss/ PARAM namegaussdbLogPath value/var/log/opengauss/ PARAM namegaussdbToolPath value/opt/software/openGauss/om/ PARAM namecorePath value/var/lib/opengauss/core/ /CLUSTER /ROOT执行初始化cd /opt/software/openGauss ./gs_initdb -D /var/lib/opengauss/data --nodenamenode1 -w password1233.3 配置环境变量在nom用户的~/.bashrc中添加export GAUSSHOME/opt/software/openGauss export PATH$GAUSSHOME/bin:$PATH export LD_LIBRARY_PATH$GAUSSHOME/lib:$LD_LIBRARY_PATH4. 安装后安全加固数据库安装完成后必须进行适当的安全加固。4.1 权限回收与清理回收临时授予的权限sudo setfacl -R -b /opt/software/openGauss sudo setfacl -R -m u:nom:r-x /opt/software/openGauss4.2 数据库安全配置修改pg_hba.conf限制访问# 仅允许本地加密连接 host all all 127.0.0.1/32 sha256配置密码复杂度策略ALTER SYSTEM SET password_policy TO 1; ALTER SYSTEM SET password_reuse_time TO 90; ALTER SYSTEM SET password_reuse_max TO 5;4.3 系统级防护措施虽然openGauss安装需要临时关闭防火墙但完成后应立即恢复sudo systemctl start firewalld sudo firewall-cmd --add-port5432/tcp --permanent sudo firewall-cmd --reload5. 日常运维与故障排查作为普通用户管理数据库需要掌握特定的运维技巧。5.1 服务管理命令启动/停止数据库服务gs_ctl start -D /var/lib/opengauss/data -Z single_node gs_ctl stop -D /var/lib/opengauss/data -Z single_node查看服务状态gs_ctl status -D /var/lib/opengauss/data5.2 常见问题解决方案问题1连接时报libpq.so.5缺失sudo ln -s $GAUSSHOME/lib/libpq.so $GAUSSHOME/lib/libpq.so.5问题2gsql连接超时 检查postgresql.conf中的listen_addresses配置listen_addresses localhost问题3内存不足错误 调整共享内存参数ALTER SYSTEM SET shared_buffers TO 1GB; ALTER SYSTEM SET work_mem TO 16MB;在长期使用过程中建议定期检查数据库日志并审计用户权限。通过pg_stat_activity视图监控当前连接及时发现异常行为。对于关键业务数据库应考虑配置WAL归档和定期物理备份确保数据安全。

更多文章