Loading
0

GoldenGate之安全特性

GoldenGate主要有密码加密、trail文件加密、TCP/IP网络加密和命令授权

生成自己的密钥

GoldenGate有自己默认的key,我们可以在OGG安装目录下使用以下命令生成我们自定义的key。

192表示key的长度,4表示生成4个key。

将生成的密钥写入ENCKEYS文件,为每一个key取一个别名,该文件必须都为大写字母,放置在OGG安装目录下,文件内容如下:

 

生成加密密码

aes192为加密算法,该算法可以为aes128、aes192、aes256和blowfish,encryptkey mykey1为指定自定义的key。

注意:使用的加密算法的长度不能超过key的长度,比如你key是用192位长度生成的,就不能使用aes256的加密算法来生成加密的密码,否则会报如下错误:

 

加密密码的使用

登陆数据库时

extract、replicat中的使用

DDLOPTIONS DEFAULTUSERPASSWORD(ORACLE ONLY for replicat)中使用

这个参数可以替换来自source端的CREATE|ALTER user <name> identified by <password>语句中的密码为你设定的密码

其他需要使用密码的地方都可以使用key加密。

 

加密trail文件

源端和目标端使用相同的key,也就是在ENCKEYS文件中定义的key相同

在extract参数文件中在需要加密的trail文件之上加入以下参数对trail加密

在不使用加密的trail前加上noencrypttrail

例如:

或者

一般情况下我们都是由extract进行数据抽取,而使用pump进行数据传送的,所以这个加密可以加在extract抽取时,也可以加在传送时加密,但一般将加密放在抽取时,传送时加密网络即可

在目标端的replicat进程参数中需要加入解密,否则将会报错,replicat将会ABEND

 

网络加密

使用网络加密,目标端必须要有相同的key,传输时是与mgr通信的,虽然目标端对网络加密不需要设置解密,但需要相应的key。

在pump、或者直接传送的extract参数文件中设置如下:

 

OGG命令授权

使用CMDSEC进行权限控制,可以限制一些监控用户只能使用info和stat命令,而不能使用start和stop命令,OGG通过在其安装目录下建立一个CMDSEC文件,写入相应的权限规则来实现对操作系统用户使用OGG命令的限制,应当保证这个文件的安全,可以给予其他用户只读权限,不允许管理员以外的用户对该文件修改或删除。

规则书写格式如下:

一行为一个规则,应用从上到下,例如:

请尊重我们的辛苦付出,未经允许,请不要转载 Ask600 的文章!