瀚高数据库安全版V4.5 单机安装手册（Linux）

目录

瀚高数据库安全版V4.5 单机安装手册（Linux）

1.环境准备

1.1防火墙设置

1.1.1 关闭防火墙

1.1.2 开放数据库使用端口

1.2 检查时区和时间

1.3 检验安装包

2. 软件安装

2.1 RPM包安装

2.2 DEB包安装

3. 设置环境变量

4. 初始化数据库

5. 数据库配置

5.1 配置数据库参数

---

瀚高数据库安全版V4.5 单机安装手册（Linux）

1.环境准备

注意：数据库版本不同对应数据库软件安装路径不同，请在完成第2步“软件安装”之后 
cd /opt/H tab键补齐H后内容，根据tab键获取的全部“H..”内容，全局替换该文档中的“HighGo4.5.2-see”，再根据该文档完成剩余工作。
例如：cd /opt/HighGo4.5.X-see H后tab键补齐为：HighGo4.5.X-see 文档中“HighGo4.5.2-see”全局替换为“HighGo4.5.X-see”。

1.1防火墙设置

关闭防火墙或者开放端口

1.1.1 关闭防火墙

systemctl stop firewalld.service
systemctl disable firewalld.service

1.1.2 开放数据库使用端口

（瀚高数据库默认5866端口，自定义端口请修改参数值）

firewall-cmd --add-port=5866/tcp             #临时添加5866端口
firewall-cmd --permanent --add-port=5866/tcp #永久添加5866端口
firewall-cmd --reload                        #重载生效

验证命令：

firewall-cmd --list-ports | grep 5866       #查看是否开放5866端口

注意：不同系统关闭防火墙/开放防火墙端口命令不同，请根据实际情况开放数据库端口

1.2 检查时区和时间

请确保操作系统时间无误，且时区为上海时区（或者香港时区）。
//检查时区

timedatectl

//修改时区为上海

timedatectl set-timezone Asia/Shanghai

//修改时区为香港

timedatectl set-timezone Asia/Hong_Kong

1.3 检验安装包

使用md5sum /路径/介质包名称 命令查看生成的MD5值，若与该介质MD5文件一致，则可继续进行下面的操作，若不一致则建议重新上传并再次检验，或与瀚高公司联系技术支持。

2. 软件安装

2.1 RPM包安装

rpm -ivh hgdb4.5.2-see-centos7-x86-64-20201009.rpm

--nodeps 忽略依赖包进行安装
--force 强制安装

注意：数据库所需的依赖包都已经封装至安装包内，所以当遇到依赖包错误的时候可以先进行忽略或者进行强制安装，安装成功后再设置环境变量。

2.2 DEB包安装

dpkg -i XXXX.deb

查看安装后的状态：

dpkg -l | grep hgdb

3. 设置环境变量

环境变量首先考虑使用数据库安装目录下这个文件：
etc目录下的：highgodb.env文件
然后vi /root/.bashrc文件，添加如下：

source /opt/HighGo4.5.2-see/etc/highgodb.env

使.bashrc内容在当前窗口立即生效：

source /root/.bashrc

4. 初始化数据库

使用root用户初始化数据库， 初始化过程会输入6次密码，三个数据库管理员各两次，初始化命
令如下：

initdb -D $PGDATA -e sm4 -c "echo 12345678" > /opt/HighGo4.5.2-see/bin/initdb.log

//-e选项表示启用FDE功能使用国密算法sm4进行数据加密
//-c选项表示输入一个命令，形成密钥的一部分
// > /opt/HighGo4.5.2-see/bin/initdb.log是将初始化过程的日志信息转存到文件中

初始化命令可以针对不同需求和安全级别来进行，例如有国密算法加密要求的开启-e SM4数据加
密，有国密算法连接认证要求的开启-A SM3。数据加密下边介绍几种情况供参考。
1. initdb
此为默认情况，使用sm3认证方式，不开启全库数据加密。
2. initdb -A md5
使用MD5认证方式；不开启全库数据加密。
3. initdb -A sm3 -e sm4 -c "echo 12345678"
使用SM3认证方式；开启全库数据加密，加密方式：SM4。
4. initdb -A md5 -e AES-256 -c "echo 12345678" -D data4
使用MD5认证方式；开启全库数据加密，加密方式：AES-256。

注意：如果在配置环境变量之前进行初始化的话，请通过bin目录中的initdb工具来进行数据库初始化。

将安装目录etc下server.crt和server.key文件拷贝至$PGDATA目录下

cp /opt/HighGo4.5.2-see/etc/server.* $PGDATA

修改server.*文件权限

chmod 0600 $PGDATA/server.*

启动数据库

pg_ctl start

5. 数据库配置

5.1 配置数据库参数

数据库配置以下参数，sysdba用户修改，重启数据库生效。

psql -d highgo -U sysdba
alter system set listen_addresses = '*';
alter system set max_connections = 800;   --数据库连接数，请按照实际情况设置
alter system set shared_buffers = '4GB';  --数据库使用的内存，设置为物理内存*25%

安全版用户密码有效时间默认为7天，如需修改密码有效时间，需要使用syssso用户登录数据库并执行以下语句，修改完成后，有效期参数自动生效。此时对用户进行创建或修改密码操作，均会自动依据此规则进行有效期设置，原有用户有效期不受影响。

psql -U syssso -d highgo
highgo=> select set_secure_param('hg_idcheck.pwdvaliduntil','365'); --修改密码

有效期为365天，请根据实际情况修改。

set_secure_param
---------------------------------
set configuration successfully.
(1 row)

安全审计功能对用户的操作进程审计，并把审计日志生成在$PGDATA/hgaudit下，审计功能默认是开启的，可使用syssao用户登录数据库并执行以下语句，修改完成后，重启生效。

psql -U syssao -d highgo
highgo=> select set_audit_param('hg_audit','off');
set_audit_param
---------------------------------
set configuration successfully.
(1 行记录)
highgo=> \q

重启数据库，使参数生效

pg_ctl restart -mf

注：开启安全审计功能可能伴有产生大量审计日志的风险，如需开启可与瀚高公司联系技术支持。

5.2 配置数据库文件
修改pg_hba.conf文件

vi $PGDATA/pg_hba.conf
host all all 0.0.0.0/0 sm3

重启数据库使参数生效

pg_ctl restart -m f

至此，瀚高数据库安全版V4.5单机模式（Linux平台）安装完毕。