为 TiDB 落盘文件开启加密

最新推荐文章于 2025-05-12 13:33:28 发布
最新推荐文章于 2025-05-12 13:33:28 发布
阅读量359 收藏 1
点赞数 1
文章标签: tidb java 开发语言 数据库 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42241611/article/details/127035670
版权

当配置项 oom-use-tmp-storage 为 true 时,如果单条 SQL 语句的内存使用超出系统变量 tidb_mem_quota_query 的限制,某些算子可以将执行时的中间结果作为临时文件落盘保存,直到查询执行完成之后将它们删除。

用户可以开启落盘文件加密功能,防止攻击者通过读取临时文件来访问数据。

配置方法

要启用落盘文件加密功能,可以在 TiDB 配置文件中的 [security] 部分,配置 spilled-file-encryption-method 选项:

[security] spilled-file-encryption-method = "aes128-ctr"

spilled-file-encryption-method 的可选值为 aes128-ctr 和 plaintext。默认值为 plaintext,表示不启用加密。

TiDB静态加密
weixin_42241611的博客
09-25 880
注意如果集群部署在 AWS 上并在使用 EBS (Elastic Block Store) 存储数据,建议使用 EBS 加密,详细信息请参考。如果集群部署在 AWS 上,但未使用 EBS 存储(例如使用本地 NVMe 存储),则建议使用本文中介绍的静态加密方式。静态加密 (encryption at rest) 即在存储数据时进行数据加密。对于数据库,静态加密功能也叫透明数据加密 (TDE),区别于传输数据加密 (TLS) 或使用数据加密(很少使用)。
TiDB 配置文件描述
weixin_42241611的博客
10-03 2530
TiDB 配置文件比命令行参数支持更多的选项。你可以在找到默认值的配置文件,重命名为即可。本文档只介绍未包含在中的参数。
FISCO BCOS key-manager 加密
2301_80858996的博客
02-24 314
FISCO BCOS key-manager 加密
Key Manager存储加密_‘加密‘-运用实例
Pollsp的博客
09-21 562
Key Manager存储加密_'加密'-运用实例
干货丨如何开启TiDB集群中的节点通信加密
在数字化道路无限探索
11-23 339
开启生产集群与加密通讯TLS的辛酸苦辣。
LUKS磁加密
Linux学习与应用
06-24 729
近期又有一个新的操作了,那就是需要对新挂载的磁进行加密,该磁拿走到其它服务器设备上不可见,需要解密才能使用。 一般平时我们没有这样的需求,随着网络安全的提升,不管是网络还是系统,还有磁都需要更加强大的安全性,保证数据的安全。 磁加密流程: 新挂载磁创建分区 fdisk /dev/sdb #/dev/sdb为挂载系统自动识别的设备号 以下是执行上述命令键入的命令: n p ...
自下而上-存储全栈(TiDB/RockDB/SPDK/fuse/ceph/NVMe/ext4)存储技术专家成长路线
C/C++Linux、音视频、DPDK
12-08 1614
数字化时代的到来带来了大规模数据的产生,各行各业都面临着数据爆炸的挑战。随着云计算、物联网、人工智能等新兴技术的发展,对存储技术的需求也越来越多样化。不同应用场景对存储的容量、性能、可靠性和成本等方面都有不同的要求。具备存储技术知识和技能的人才更具有竞争力。
TiKV 配置文件描述
weixin_42241611的博客
10-03 1780
TiKV 配置文件比命令行参数支持更多的选项。你可以在找到默认值的配置文件,重命名为 config.toml 即可。本文档只阐述未包含在命令行参数中的参数,命令行参数参见。
快速学习-XXL-JOB版本更新日志
逍遥云恋
09-23 1391
七、版本更新日志 7.1 版本 V1.1.x,新特性[2015-12-05] 【于V1.1.x版本,XXL-JOB正式应用于我司,内部定制别名为 “Ferrari”,新接入应用推荐使用最新版本】 1、简单:支持通过Web页面对任务进行CRUD操作,操作简单,一分钟上手; 2、动态:支持动态修改任务状态,动态暂停/恢复任务,即时生效; 3、服务HA:任务信息持久化到mysql中,Job服务天然支持集群,保证服务HA; 4、任务HA:某台Job服务挂掉,任务会平滑分配给其他的某一台存活服务,即使所有服务挂掉,
1、prometheus是什么?
最新发布
xuebo1129927648的博客
05-12 578
Node Exporter:收集服务器的 CPU、内存、磁等系统指标JMX Exporter:收集 Java 应用的 JMX 指标应用自身也可以直接暴露 Prometheus 格式的指标端点Prometheus 按照配置的时间间隔(如每秒、每 15 秒)定期拉取数据,这种方式避免了被监控对象主动推送数据的复杂性,简化了系统架构。查询特定时间范围内的指标值:http_requests_total [5m]计算平均值:avg (http_requests_total)
linux数据保证,Linux中如何保证数据安全
weixin_34378986的博客
05-12 322
背景在很多IO场景中,我们经常需要确保数据已经安全的写到磁上,以便在系统宕机重启之后还能读到这些数据。但是我们都知道,linux系统的IO路径还是很复杂的,分为很多层,每一层都可能会有buffer来加速IO读写。同时,用户态的应用程序和库函数也可能拥有自己的buffer,这又给IO路径增加了一些复杂性。可见,要想保证数据安全的写到磁上,并不是简单调一个write/fwrite就可以搞定的。那么...
Linux:保证数据安全
Listen2You的博客
07-29 804
背景 在很多IO场景中,我们经常需要确保数据已经安全的写到磁上,以便在系统宕机重启之后还能读到这些数据。但是我们都知道,linux系统的IO路径还是很复杂的,分为很多层,每一层都可能会有buffer来加速IO读写。同时,用户态的应用程序和库函数也可能拥有自己的buffer,这又给IO路径增加了一些复杂性。可见,要想保证数据安全的写到磁上,并不是简单调一个write/fwrite就可以搞定的。...
军用级磁加密
我还在的博客
10-05 1510
军用级磁加密0x00 前言0x01 环境0x02 过程1. SecurStar DriveCrypt2. 安装DriveCrypt 4.61后,需要重新启动计算机。3. 创建的同时会对私有进行加密。4. 创建了一个私有5. 弹出磁6. 重新挂载磁 0x00 前言 这是我对军用级磁加密的学习记录。 0x01 环境 windows xp sp3 0x02 过程 1. SecurStar D...
Linux下加密
weixin_33955681的博客
01-13 159
2019独角兽企业重金招聘Python工程师标准>>> ...
填坑!!!解决!!!节点加密后无法启动!!!
ou_my的博客
05-31 554
填坑!!!解决!!!节点加密后无法启动!!!
TiDB 客户端服务端间通信开启加密传输
weixin_42241611的博客
09-25 854
TiDB 服务端与客户端之间默认采用非加密连接,因而具备监视信道流量能力的第三方可以知悉 TiDB 服务端与客户端之间发送和接受的数据,包括但不限于查询语句内容、查询结果等。若信道是不可信的,例如客户端是通过公网连接到 TiDB 服务端的,则非加密连接容易造成信息泄露,建议使用加密连接确保安全性。TiDB 服务端支持启用基于 TLS(传输层安全)协议的加密连接,协议与 MySQL 加密连接一致,现有 MySQL Client 如 MySQL Shell 和 MySQL 驱动等能直接支持。
TiDB部署全攻略——安全加固
bbsxb520的博客
07-04 930
TiDB的安全加固,包括文件加密、日志脱敏、密码管理(密码复杂度策略、重用策略、错误次数策略、过期策略)、TLS加密通道的开启以及开启后PD DashBoard的使用等
【转】Linux内核安全技术(二)——磁加密技术概述和eCryptfs详解
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
06-10 1219
加密是最常见的数据安全保护技术,在数据生命周期各阶段均有应用。从应用场景和技术实现上,按加密对象、用户是否感知、加密算法等维度,有多种分类及对应方案,并在主流操作系统如Windows、Linux、Android中有广泛应用。本文是Linux内核安全技术系列第二篇,主要介绍磁加密技术及主流实现方案。首先介绍磁加密技术背景,包括应用场景、威胁模型、技术路线分类等;其次介绍磁加密的两种实现方案,即全加密FDE和文件系统加密FBE,重点介绍Linux系统和内核主流FBE实现方案;
TiDB 生产集群与加密通讯TLS的辛酸苦辣 - 工具篇
TiDB 社区干货传送门
01-11 144
作者: caiyfc 原文来源: https://tidb.net/blog/19a30e17 ...
修改TIDB配置文件后如何重启
07-20
2. 停止 TiDB 服务:使用以下命令停止 TiDB 服务(以 Linux 系统为例): ```bash systemctl stop tidb ``` 如果你是在 Windows 系统上运行 TiDB,则可以通过管理工具或服务管理界面停止相应的 TiDB 服务。 3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

每天读点书学堂

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值