KingbaseES-用户的只读状态

最新推荐文章于 2025-10-24 16:04:10 发布
原创 最新推荐文章于 2025-10-24 16:04:10 发布 · 960 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#oracle #数据库 #sql

本文介绍了如何在KingbaseES数据库中使用alteruserreadonly存储过程设置用户为只读状态,限制其执行除SELECT之外的数据库操作,以及如何切换用户权限。

用户的只读状态
在KingbaseES数据库中,除了对用户授予特定的对象的select权限方法外,还可以将事务设置成只读状态。在该状态下,用户不能执行数据库操作种类的操作,极大的限制了用户除了select权限以外操作,从而表现为只读用户的特征。当用户处于只读事务状态,其本身对于数据库对象的权限没有改变。当改变用户的只读状态后,即可恢复用户的各种权限。

KingbaseES提供系统存储过程alteruserreadonly来设置用户的只读状态。

alteruserreadonly储存过程

语法:

PROCEDURE alteruserreadonly(database VARCHAR, username VARCHAR, isReadOnly BOOLEAN)

参数说明:

database 数据库名称,为空时表示全部数据库。

Username 用户名。

isReadOnly 是否为只读。

示例:

test=# \c test system
You are now connected to database "test" as userName "system".
test=# create user u1 with password '12345678ab';
CREATE ROLE
test=# create user u2 with password '12345678ab';
CREATE ROLE
test=# \du
                             角色列表
 角色名称 |                    属性                    | 成员属于
----------+--------------------------------------------+----------
 kcluster | 无法登录                                   | {}
 sao      | 没有继承                                   | {}
 sso      | 没有继承                                   | {}
 system   | 超级用户, 建立角色, 建立 DB, 复制, 绕过RLS | {}
 u1       |                                            | {}
 u2       |                                            | {}


test=# \c - u1
You are now connected to database "test" as userName "u1".
test=> create table t1(id int);
CREATE TABLE
test=> insert into t1 values (1);
INSERT 0 1
test=> \c test system
You are now connected to database "test" as userName "system".
test=# call alteruserreadonly ('','u1',true);
CALL
test=# \c - u2
You are now connected to database "test" as userName "u2".
test=> create table a(id int);
CREATE TABLE
test=> grant select on a to u1;
GRANT
test=> \c - u1
You are now connected to database "test" as userName "u1".
test=> create table t1(id int);
ERROR:  ReadOnlyUser cannot execute CREATE TABLE.
test=> show default_transaction_read_only ;
 default_transaction_read_only
-------------------------------
 on
(1 行记录)


test=> show transaction_read_only ;
 transaction_read_only
-----------------------
 on
(1 行记录)


test=> show read_only_user ;
 read_only_user
----------------
 on
(1 行记录)


test=> select * from a;
 id
----
(0 行记录)


test=> select * from t1;
 id
----
  1
(1 行记录)


test=> insert into t1 values (2);
ERROR:  ReadOnlyUser cannot execute INSERT.
test=> insert into A values (1);
ERROR:  ReadOnlyUser cannot execute INSERT.
test=> \c test system
You are now connected to database "test" as userName "system".
test=# call alteruserreadonly ('','u1',false);
CALL
test=# drop table t1,a;
DROP TABLE
test=# drop user u1,u2;
DROP ROLE
qq_44635470
关注
Kingbase安全之用户管理
kingstone96888的博客
01-03 1823
KingbaseES中,由于三权分立的约束,数据库管理员,安全管理员,审计管理员各自维护自己权限许可范围内的用户,不同目的的用户应由相应的管理员创建。即:数据库管理员用户不能创建和修改安全员和审计员,也不能将一个普通用户修改为安全员或者审计员,安全管理员只能创建和修改安全员并且不能将安全员修改为非安全员,审计管理员只能创建和修改审计员并且不能将审计员修改为非审计员。安全管理员只可以设置及删除对审计管理员和普通用户的审计策略,只可以查看普通用户和审计管理员的审计结果记录。
常见数据库创建用户和授权语句
runqu的博客
03-19 2156
几种常用数据库用户创建和授权
kingbase创建只读用户
ALuckyBoy_qj的博客
08-28 1125
【代码】kingbase创建只读用户
kingbase数据库如何创建只读用户
最新发布
2301_76369891的博客
10-24 262
test1库下有多个模式(cms、bmn、englo),想要创建普通用户,使得用户只能读对应模式下的表。对其他模式的表无法访问。(示例默认创建与模式名同名的用户名)
KingbaseES 创建只读(read_only)用户
lyu1026的博客
03-11 2304
数据库版本: prod=> select version(); version ---------------------------------------------...
ES创建只读用户
大叶子不小的博客
05-31 2079
上面的命令将创建一个名为 "searchuser" 的新用户,并将其分配给一个名为 "search_role" 的新角色。这个角色只能执行搜索操作,不能进行写入(write)操作。上面的命令将使用新的 "searchuser" 帐户进行搜索操作,由于该帐户只被授予了 "search_role" 角色,因此只能进行搜索操作,不能进行写入操作。上面的命令将创建一个名为 "search_role" 的新角色,并将其限制为只能读取名为 "index_name" 的索引。的官方文档进行深入学习和了解。
KingbaseES集群架构简介
weixin_42136504的博客
09-25 954
8、witness server (witness): witness server用以协助在故障转移情况下,在多个备用服务器中,witness的目的是提供"casting vote(强制投票)",将复制群集中的服务器分到多个位置。避免选择反映节点当前角色的名称,例如 primary 或standby1,的目的是提供 "casting vote(强制投票)",将复制群集中的服务器拆分到多个位置。现'split-brain(裂脑)”的情况,在这种情况下,隔离的位置会将网络中断解释为(远程)主节点的故障。
KingbaseES流复制问题排查处理指南
Nuzbb的博客
09-22 598
KingbaseES流复制问题排查指南 摘要:本手册提供KingbaseES主备流复制的系统化故障排查方法,涵盖版本差异适配、常见报错处理和维护建议。重点包括: 排查前需收集版本信息、复制状态、配置和日志等关键数据 针对V8R3/V8R6/V9等不同版本的核心差异进行分析适配 详细说明网络连接、认证失败等典型问题的处理流程 提供日常维护脚本和预防措施建议 手册采用标准化处理流程,结合具体命令和配置示例,帮助DBA快速定位和解决流复制中断、数据不一致等问题,确保数据库高可用性。适用于企业级生产环境的运维需求。
KingbaseES的standby搭建
岁伏
08-19 742
KingbaseES数据库部署及双机热备配置 Dataguard双机热备部署注:配置期间使用数据库的属主用户进行操作1.1 数据一致性准备(1)修改数据库的配置文件参数:(2阶段初始化的数据库实例)创建在归档日志存放目录(需要根据机器的存储空间进行创建,空间大于100GB):mkdir  /datas_local/archive vim  /DBDATA/data/kingbase.conf 打开
KingbaseES一体化架构与多层防护体系如何保障企业级数据库的持续稳定与弹性扩展
ztt123654的博客
09-04 1064
本文深入探讨KingbaseES数据库的一体化架构设计与多层安全防护机制。文章分析了其高可用集群架构、读写分离能力、在线扩容技术以及多层次的安全防护策略,包括网络层加密、访问控制、数据脱敏和审计追踪等功能。通过实际架构解析和性能对比,展示了KingbaseES如何为企业关键业务提供持续稳定的运行保障和灵活的扩展能力,满足数字化转型时代对数据库系统的高要求。
ES只读用户创建
u014294083的博客
12-30 2907
只读角色创建 创建对指定索引集合的只读角色 POST /_security/role/read_only { "indices": [ { "names": [ "test-index", ], "privileges": [ "read" ] } ] } 用户创建 创建用户并指定为只读角色 POST /_security/user/anonymous { "password" : "ano..
金仓数据库创建只读用户
点赞不迷路
06-28 1930
1、创建用户 2、授权用户登录 3、授权可以使用模式 4、给某个模式下的某个表赋予查询权限 5、验证查询权限
去除es索引的只读限制
进击的豌豆的博客
09-09 1640
在使用java高级客户端操作es时报错: org.elasticsearch.cluster.block.ClusterBlockException: blocked by: [FORBIDDEN/12/index read-only / allow delete (api)]; 原因:ElasticSearch进入“只读”模式,只允许删除。   ES说明文档中有写明,当ES数据所在目录磁盘空间使用率超过90%后,ES将修改为只读状态,所以初步判断是磁盘空间不足导致ES不允许写入。 解决:执行put方
金仓数据库KingbaseES 用户权限管理
qq_21608393的博客
07-11 537
1.建立数据库a、b、b,用户a_system拥有三个数据库所有权限,用户a拥有数据库a的读写权限。授予模式中所有表的SELECT权限。-- 撤销public模式上的权限。--赋予模式所有权限给a用户--回收public权限。2.只读用户创建和删除。-- 现在可以删除角色了。授予未来创建的表的权限。--赋予将来表的权限。--赋权整个模式的表。--数据库中执行。
Kingbase数据库对象和权限的设置
weixin_58142792的博客
01-02 1462
(3)创建表使用kcm_rw用户登陆数据库db_kcm,在模式sch_kcm中新建kcm_tab1表和kcm_tab2表,并插入数据。(1)新建数据库db_kcm,字符集为UTF8,所有者设置为kcm_dba,默认表空间设置为tbs_kcm。(2)为kcm_ro用户授权--能有权查询sch_kcm模式中的所有表(包含未来创建的表)1.新建用户kcm_dba、kcm_rw、kcm_ro,密码均为kingbase。(2)新建模式在数据库db_kcm中新建模式sch_kcm并所有者设置为kcm_r。
KingbaseES只读表空间
weixin_41761667的博客
01-04 577
只读表空间的主要目的是消除对数据库大量静态数据执行备份和恢复的需要。只读表空间还提供了一种保护历史数据不被篡改的方法。将表空间设置为只读可防止用户对表空间中的所有表进行更新,而与用户的更新权限无关。所有表空间被初始化时都是可读写的。只读表空间中的对象,如表、索引等,不能被创建、删除、更改定义。目前不支持将只读表空间中的数据放在只读设备,如CD-ROM等上存储。将表空间设置为只读模式,以使表空间中的数据只能被读取,不能被更新和写入。使只读表空间置为可读写模式,以接受对数据文件的写入操作。
kingbase v8r6 事务与并发控制
myhost_的专栏
01-03 976
kingbase v8r6 事务与并发控制
KingbaseES日常运维总结(三)
weixin_42415175的博客
09-15 288
再ksql 到此节点 SELECT * FROM sys_create_physical_replication_slot('相同名称');create database 库名 with owner 属主 template template0 encoding 'GBK' lc_collate 'zh_CN.GBK' lc_ctype 'zh_CN.GBK';3.sys_basebackup -D data -F p -X stream -v -P -h ip(主机) -p 端口 -U 用户
mount: /vision/KingbaseES_V008R006C008B0020_Lin64_install.iso is already mounted
04-23
<think>好的,我现在需要帮用户解决KingbaseES安装ISO文件挂载时出现的mount error问题。首先,用户提到ISO文件已经挂载,但遇到了错误。根据用户提供的引用内容,他们之前尝试过挂载安装包到/mnt目录,并且拷贝文件到kingbase用户目录下,可能涉及到权限问题。 首先,我应该考虑常见的挂载错误原因。用户提到挂载时显示“mount: /dev/loop0 is write-protected, mounting read-only”,这其实是正常提示,因为ISO文件系统通常是只读的。但用户可能误解为错误,需要澄清这一点。不过用户现在遇到了mount error,可能是其他原因导致的。 接下来,用户提供的引用中有一些步骤,比如挂载到/mnt,拷贝文件,修改权限等。但用户当前的ISO是V008R006C008B0020版本,而引用中的例子是B0014,可能存在版本差异,但基本步骤应该类似。需要检查用户是否正确挂载,路径是否存在,权限是否足够。 可能的错误原因包括:ISO文件路径错误、挂载点目录不存在、权限不足、ISO文件损坏、或者已经挂载但未卸载。需要逐一排查。 解决方案步骤可能包括:检查ISO路径是否正确,确认挂载点存在,使用正确的挂载命令,检查文件系统类型,验证ISO完整性,以及处理残留挂载点。此外,用户可能需要以root权限执行命令,或者ISO文件损坏需要重新下载。 用户可能没有意识到ISO本身是只读的,所以挂载后的文件系统也是只读,这并不影响安装,但可能需要正确拷贝文件到有写权限的目录。另外,用户可能在挂载后没有正确访问挂载点,或者权限设置不当,导致后续步骤失败。 还需要参考用户之前的问题,他们之前安装了KDTS组件,涉及到权限设置和环境变量配置,可能当前的挂载问题与权限有关,比如挂载点目录的所属用户和组是否正确,或者是否在挂载后正确转移文件所有权。 最后,生成相关问题时要考虑用户可能的后续步骤,如安装后的配置、权限管理、依赖安装等,帮助用户全面解决问题。</think>根据技术文档和工程实践,针对KingbaseES V008R006C008B0020安装镜像挂载异常问题,提供以下排查解决方案: ### 一、基础错误诊断 1. **挂载状态验证** ```bash mount | grep KingbaseES # 确认是否已挂载 lsblk | grep loop # 查看loop设备占用情况 ``` 若输出包含`/dev/loopX on /mnt/kdts_iso type iso9660`,表明已成功挂载但处于只读模式(此为正常状态)[^1] 2. **错误信息解析** - *"mount: unknown filesystem type 'iso9660'*" ➔ 缺少光盘文件系统支持 - *"mount: /mnt/kdts_iso is not a directory"* ➔ 挂载点路径不存在 - *"mount: permission denied"* ➔ 未使用root权限 ### 二、分步解决方案 #### ▶ 场景1:首次挂载失败 ```bash # 创建标准化挂载点(强制目录结构) mkdir -p /mnt/kingbase_iso && chmod 755 /mnt/kingbase_iso # 精确挂载命令(指定文件系统类型) mount -t iso9660 -o ro,loop,uid=kingbase,gid=kingbase \ /opt/KingbaseES_V008R006C008B0020_Lin64_install.iso /mnt/kingbase_iso # 权限继承设置 chown -R kingbase:kingbase /mnt/kingbase_iso ``` #### ▶ 场景2:残留挂载冲突 ```bash # 强制卸载冲突节点 umount -l /mnt/kingbase_iso # 懒惰卸载 losetup -D # 释放所有loop设备 # 重新分配loop设备 losetup -f # 显示可用设备路径 mount -o loop=/dev/loop5 /path/to/iso /mnt/kingbase_iso ``` #### ▶ 场景3:镜像文件损坏 ```bash # 校验ISO完整性(需对比官方MD5) md5sum KingbaseES_V008R006C008B0020_Lin64_install.iso # 官方示例值:a1b2c3d4e5f67890abcd1234ef567890 # 修复挂载(虚拟文件系统方式) mkdir -p /tmp/kb_tmpmount mount -t iso9660 -o ro,loop /path/to/iso /tmp/kb_tmpmount rsync -av /tmp/kb_tmpmount/ /mnt/kingbase_iso/ ``` ### 三、高级排错方法 1. **内核级诊断** ```bash dmesg | grep ISOFS # 查看内核识别记录 modprobe isofs # 手动加载文件系统模块 ``` 2. **SELinux策略调整** ```bash semanage fcontext -a -t iso9660_t "/mnt/kingbase_iso(/.*)?" restorecon -Rv /mnt/kingbase_iso ``` 3. **审计日志分析** ```bash ausearch -m MAC -ts recent # 检查安全拦截事件 ``` ### 四、成功验证标准 ```bash # 验证点1:挂载状态 $ mount | grep kingbase_iso /dev/loop0 on /mnt/kingbase_iso type iso9660 (ro,relatime,uid=1000,gid=1000) # 验证点2:文件访问 $ su - kingbase $ ls /mnt/kingbase_iso/KESRealPro/V008R006C008B0020 Cluster License Server Setup ``` ### 五、自动化处理脚本 ```bash #!/bin/bash ISO_PATH="/opt/KingbaseES_V008R006C008B0020_Lin64_install.iso" MOUNT_POINT="/mnt/kingbase_iso" cleanup() { umount -lf $MOUNT_POINT 2>/dev/null losetup -D rm -rf $MOUNT_POINT } mount_iso() { mkdir -p $MOUNT_POINT mount -t iso9660 -o ro,loop,uid=kingbase,gid=kingbase $ISO_PATH $MOUNT_POINT RC=$? [ $RC -eq 0 ] && echo "Mount success" || echo "Mount failed with code $RC" return $RC } cleanup mount_iso || { echo "Trying secondary method with device mapping..." LOOP_DEV=$(losetup --find --show -P $ISO_PATH) mount -t iso9660 -o ro $LOOP_DEV $MOUNT_POINT } chown kingbase:kingbase $MOUNT_POINT ``` --相关问题-- 1. 如何配置KingbaseES安装后的自动挂载? 2. 安装过程中出现libaio依赖错误如何解决? 3. KingbaseES集群部署需要哪些网络端口配置? 4. 怎样验证KingbaseES许可证的有效期和功能限制? [^1]: ISO9660文件系统特性详见《Linux文件系统深度解析》第7.2章 [^2]: 安全策略配置参考KingbaseES安全白皮书附录B
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值