tidb集群中的账号在安全审计中遇到的问题

ablewang_xiaobo · 2022 年11 月 23 日 05:54

今天客户项目的安全审计关于tidb集群的账号等问题提出了如下要求，请大家一起来参考参考

tidb-installer账号的用途，是否可以删除
tidb账户和tidb-installer账户在/etc/sudoers文件中的权限如下被要求整改
tidb-installer ALL=(ALL) NOPASSWD: ALL
Defaults: tidb-installer !requiretty
tiup ALL=(ALL) NOPASSWD: ALL
Defaults: tiup !requiretty
tidb ALL=(ALL) NOPASSWD: ALL
但是部署tidb的是否用的是tidb这个账户，后续需要定期修改密码，不知道会带来什么影响。

Billmay表妹 · 2022 年11 月 23 日 06:04

这两个内容可以看一下~

h5n1 · 2022 年11 月 23 日 06:05

1、其实只使用一个tidb用户就够了，用这个用户来部署。
2、sudo免密权限还不知道怎么弄，我们的机器上是审请临时放开几天然后收回，需要时在申请，这个权限确实有点大。
3、修改密码没啥影响不是都靠ssh免密，有些操作比如扩缩容时-u tidb -p 手动输入一次密码就行，要求就是所有涉及节点的tidb用户密码一样

wuxiangdong · 2022 年11 月 23 日 06:06

定期改密码没影响，之前Oracle rac中的oracle账号也是定期改密码

ablewang_xiaobo · 2022 年11 月 23 日 07:18

我在想是不是免密那里设置他可以执行哪些具体的命令就可以了呢，还需要进一步验证

ablewang_xiaobo · 2022 年11 月 23 日 07:19

ok，谢谢

h5n1 · 2022 年11 月 23 日 07:31

我部署的这些集群从来没设置过免密，都是用户名+密码

tidb狂热爱好者 · 2022 年11 月 23 日 09:26

这个用户可以删除

Raymond · 2022 年11 月 23 日 12:17

但是部署tidb的是否用的是tidb这个账户，后续需要定期修改密码，不知道会带来什么影响。—》没什么影响，用os的tidb 用户部署的，然后改了os的tidb用户密码，没啥影响，因为做了互信后，就可以定期修改tidb的密码了

system · 2023 年1 月 22 日 12:17

此话题已在最后回复的 60 天后被自动关闭。不再允许新回复。