Deepseek-ClickHouse数据库的安全策略

CatalyzeSec2025-02-26 13:49

简介

ClickHouse是一个高性能的列式数据库管理系统,旨在处理大量数据的实时分析和查询。它的设计目标是提供快速、高效的查询性能,同时保证数据的安全性和可靠性。近期,DeepSeek的ClickHouse数据库因未经身份验证的访问漏洞,意外暴露了超过100万行的敏感数据。

安全策略

1. 用户权限管理

  • 创建用户

    CREATE USER username IDENTIFIED WITH plaintext_password BY 'password'; //创建一个用户名为 username 的用户,并设置密码。

  • 授予权限

    GRANT SELECT, INSERT ON database.* TO username; //为用户 username 授予对 database 数据库下所有表的 SELECT 和 INSERT 权限。

  • 撤销权限

    REVOKE SELECT, INSERT ON database.* FROM username; //撤销用户 username 对 database 数据库下所有表的 SELECT 和 INSERT 权限。

  • 删除用户

    DROP USER username;

2. 加密

  • 启用 TLS/SSL : 在 clickhouse-server 配置文件 config.xml 中启用 TLS(SSL)加密:

    <tcp_port_secure>9440</tcp_port_secure>
    <https_port>8443</https_port>
    <secure_connection_timeout>60</secure_connection_timeout>
    <listen_host>::</listen_host>
    <ssl_certificate>/path/to/certificate.crt</ssl_certificate>
    <ssl_private_key>/path/to/private.key</ssl_private_key>
    <ssl_ca_certificate>/path/to/ca.crt</ssl_ca_certificate>

  • 启用数据加密(加密磁盘数据): 数据加密通常通过操作系统或存储层级(如 LUKS 或 BitLocker)来实现。ClickHouse 本身不提供直接加密数据存储的功能,但可以配合系统级加密技术来加密数据目录。

3. 审计日志

  • 开启查询日志 : 在 config.xml 中配置查询日志:

    <query_log>
    <enabled>1</enabled>
    <path>/var/log/clickhouse-server/query.log</path>
    </query_log>

  • 开启操作日志 : 在 config.xml 中配置操作日志:

    <operation_log>
    <enabled>1</enabled>
    <path>/var/log/clickhouse-server/operation.log</path>
    </operation_log>

4. 限制查询行为 (防止恶意查询)

  • 限制查询执行时间: 你可以限制查询的最大执行时间:

    SET max_execution_time = 60; -- 限制查询执行时间不超过60秒

  • 限制查询内存使用: 限制每个查询的最大内存使用:

    SET max_memory_usage = 10000000000; -- 限制最大内存使用为 10GB

  • 限制查询返回行数: 限制查询最多返回的行数:

    SET max_result_rows = 10000; -- 限制每个查询最多返回 10000 行

5. 访问限制

  • 限制 IP 地址访问 : 在 config.xml 中配置允许访问的 IP 地址范围:

    <listen_host>127.0.0.1</listen_host> -- 仅允许本地连接

  • 配置用户访问限制: 如果只想允许特定 IP 地址的用户访问数据库,可以在用户配置时限制该用户的 IP 地址:

    CREATE USER username IDENTIFIED WITH plaintext_password BY 'password' HOST '192.168.1.%';

6. 其他安全配置

  • 关闭 HTTP 接口 : 如果不需要 HTTP 接口,可以在 config.xml 中禁用:

    <http_port>0</http_port>

或者完全禁用 HTTP 接口:

复制代码 
<http_secure_port>0</http_secure_port>

  • 禁用默认数据库 : 可以配置 ClickHouse 禁用默认数据库(如 default)的访问权限:

    REVOKE ALL ON default.* FROM username;

7. 配置加密备份

ClickHouse 本身不直接提供加密备份的功能,可以使用外部工具(例如 GPG、OpenSSL等)加密备份文件。

复制代码 
//使用 GPG 加密
clickhouse-backup create
gpg --symmetric --cipher-algo AES256 backup.tar.gz
相关推荐
敖云岚1 小时前
【Redis】分布式锁的介绍与演进之路
数据库·redis·分布式
weixin_307779131 小时前
Linux下GCC和C++实现统计Clickhouse数据仓库指定表中各字段的空值、空字符串或零值比例
linux·运维·c++·数据仓库·clickhouse
LUCIAZZZ1 小时前
HikariCP数据库连接池原理解析
java·jvm·数据库·spring·springboot·线程池·连接池
我在北京coding2 小时前
300道GaussDB(WMS)题目及答案。
数据库·gaussdb
小Tomkk2 小时前
阿里云 RDS mysql 5.7 怎么 添加白名单 并链接数据库
数据库·mysql·阿里云
明月醉窗台3 小时前
qt使用笔记二:main.cpp详解
数据库·笔记·qt
沉到海底去吧Go3 小时前
【图片自动识别改名】识别图片中的文字并批量改名的工具,根据文字对图片批量改名,基于QT和腾讯OCR识别的实现方案
数据库·qt·ocr·图片识别自动改名·图片区域识别改名·pdf识别改名
老纪的技术唠嗑局4 小时前
重剑无锋,大巧不工 —— OceanBase 中的 Nest Loop Join 使用技巧分享
数据库·sql
未来之窗软件服务4 小时前
JAVASCRIPT 前端数据库-V6--仙盟数据库架构-—-—仙盟创梦IDE
数据库·数据库架构·仙盟创梦ide·东方仙盟·东方仙盟数据库
Johny_Zhao4 小时前
2025年6月Docker镜像加速失效终极解决方案
linux·网络·网络安全·docker·信息安全·kubernetes·云计算·containerd·yum源·系统运维
热门推荐
01【图像处理与机器视觉】XJTU期末考点02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04海康Visionmaster-常见问题排查方法-启动阶段05YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07Coze扣子平台完整体验和实践(附国内和国际版对比)08DeepSeek各版本说明与优缺点分析09VMware虚拟机安装Win7专业版保姆级教程(附镜像包)10R-tree详解