原文链接：https://www.gbase.cn/community/post/4149

更多精彩内容尽在南大通用GBase技术社区，南大通用致力于成为用户最信赖的数据库产品供应商。

在信息安全日益受到重视的今天，数据库的加密功能成为保护数据不可或缺的手段。在企业运营中，经常需要处理包含敏感信息的数据，如客户个人信息、财务记录等。南大通用GBase 8s数据库提供了强大的透明数据加密(TDE)功能，通过南大通用GBase 8s的TDE加密功能，对数据内容进行加密，确保数据在存储和备份过程中的安全性，从而有效防止数据泄露带来的风险。本文将详细介绍GBase 8s数据库TDE的配置流程，从环境准备到加解密设置，为您提供一份详尽的操作手册进行参考。

注：不考虑docker版本

1、环境准备及软件版本

前置条件：在Centos7.9操作系统上正确安装及配置GBase 8s V8.8，为后续步骤做好环境准备工作。安装版本可以在官网下载，并参考《GBase 8s V8.8 安装手册.pdf》进行安装。

下载地址：https://www.gbase.cn/download/gbase-8s-1?category=INSTALL_PACKAGE

2、创建用户数据库

指导如何创建数据库和表，以及如何插入示例数据，为后续的加解密操作做准备。

create database dbtest1 in datadbs1 with log;create tabletab1(col1char(10),col2varchar(10),col3nchar(10),col4nvarchar(10));insert into tab1values('aaa','AAA','naaa','NAAA');insert into tab1values('AAA','aaa','NAAA','naaa');select * from tab1;

3、加密配置：

详细说明加密配置的步骤，包括确认明文存储、备份数据库、拷贝和修改加密配置文件、停止和重新初始化数据库服务，以及使用dbimport恢复数据库。

注：如下操作使用gbasedbt用户执行

1、确认明文存储。

grep'aaa'/opt/GBASE/gbase/gbaseserver_dbs/datadbs1_1

2、备份指定数据库，路径要存在。

dbexport dbtest1 -ss -o /home/gbasedbt/backup

3、使用std文件拷贝出两个加密配置文件。

  cd $GBASEDBTDIR/etc

  cp secswitch.std   secswitch.$GBASEDBTSERVER

  cp securityconfig.std  securityconfig.$GBASEDBTSERVER

4、修改 secswitch.$GBASEDBTSERVER 。

修改参数值如下：

SECURITY_AUTHENTICATION=7SECURITY_STORAGE_ENCRYPTION=1SECURITY_BACKUP_RESTORE=1

5、修改 securityconfig.$GBASEDBTSERVER 

   修改两个参数值如下：

[storage]##the type of storage encryptionENCRYPTION_TYPE=SOFT#the configurationforbackup encryption[backup]##the type of backup encryptionENCRYPTION_TYPE=SOFT

6、使用 gbasedbt 用户停止数据库服务

  onmode -ky

7、使用 gbasedbt 用户执行初始化脚本，加密配置生效

sh /opt/GBASE/gbase/etc/GBaseInit_gbasedbt.sh

8、使用gbasedbt用户进入到 /home/gbasedbt/backup目录

a）cd /home/gbasedbt/backup

b)  dbimport dbname -d datadbs1 -l buffered 

注意：dbname是要恢复的数据库的名称

9、使用gbasedbt用户切换逻辑日志，使数据落盘

a）onmode -l

b）onmode -c

10、grep 'aaa' /opt/GBASE/gbase/gbaseserver_dbs/datadbs1_1 

没有明文数据

4、 解密配置：

同样详细描述解密过程，包括确认数据为密文存储、备份数据库、删除加密配置文件、重新初始化数据库服务，以及使用dbimport恢复数据库。

注：解密配置如下操作使用gbasedbt用户执行

1、确认数据为密文存储

grep'aaa'/opt/GBASE/gbase/gbaseserver_dbs/datadbs1_1

2、备份指定数据库，路径要存在

dbexport dbtest1 -ss -o /home/gbasedbt/backup 

注意：dbtest1是要备份的数据库的名称

3、删除掉两个配置文件

cd $GBASEDBTDIR/etc

rm -rf secswitch.$GBASEDBTSERVER  securityconfig.$GBASEDBTSERVER

4、使用 gbasedbt 用户执行

su - gbasedbt

onmode -ky

5、使用 gbasedbt 用户执行初始化脚本，明文配置生效

sh /opt/GBASE/gbase/etc/GBaseInit_gbasedbt.sh

6、使用gbasedbt用户进入到 /home/gbasedbt/backup目录

su - gbasedbt

cd /home/gbasedbt/backup

dbimport dbname -d datadbs1 -l buffered

注意：dbname是要恢复的数据库的名称

7、使用gbasedbt用户切换逻辑日志，使数据落盘

onmode -l

onmode -c

8、grep 'aaa' /opt/GBASE/gbase/gbaseserver_dbs/datadbs1_1 

      是明文数据

注：在操作过程中需要注意的事项，如使用正确的用户执行命令、路径存在性确认、以及配置文件的正确修改。

通过本文的介绍，您应能全面了解南大通用GBase 8s数据库TDE的配置流程。数据安全是企业的生命线，而GBase 8s的TDE功能为您提供了坚实的安全保障。我们期望通过本指南帮助您更有效地管理和保护您的数据资产。

原文链接：https://www.gbase.cn/community/post/4149

更多精彩内容尽在南大通用GBase技术社区，南大通用致力于成为用户最信赖的数据库产品供应商。