ClickHouse部署全攻略——安全配置

目录

Quotas：配额修改（暂不建议修改）

User settings：用户配置

以rsyslog形式写入系统日志

直接发送到rsyslog接收服务端（不推荐）

留存本地，是否发送由rsyslog统一制定（推荐）

启用openSSL安全协议

为clickhouse生成秘钥交换协议文件（每台主机各自生成）

为集群生成自签名证书（各主机证书不通用）（推荐）

为集群生成自签名证书（通用证书）

修改所有通信端口、访问端口为安全端口

禁用 MySQL 和 PostgreSQL 的默认仿真端口

修改HTTP图形界面端口为HTTPS协议端口

 修改TCP客户端通信端口为基于SSL协议安全通通信端口

修改服务器之间交换数据通信端口为基于SSL协议安全通通信端口

设置监听外部端口

使用证书和路径配置OpenSSL

修改副本间通信端口及开启SSL协议安全通道

修改keeper_server与client之间的SSL连接的安全端口

修改客户端配置文件

重启服务并开放防火墙

升级安全通信后的各工具访问

客户端访问

页面访问

4LW命令使用

 DBeaver工具访问

---

Quotas：配额修改（暂不建议修改）

• 进入配置文件目录，编辑config.xml配置文件

vim /etc/clickhouse-server/users.xml

• 找到quotas选项并修改如下红色标注部分

          
                
                3600
                
                0
                1000
                0
                0
                0
            
        
    

 即：仅将默认的时间周期内允许的异常总数，修改为1000即可。

User settings：用户配置

• 进入配置文件目录，编辑users.xml配置文件

vim /etc/clickhouse-server/users.xml

• 分别为默认default用户及日常使用用户获取密码字符串。建议使用SHA256

#获取default用户SHA256密码字符串：
echo -n "XXXXXX"|sha256sum|tr -d '-'
#获取qrl用户SHA256密码字符串：
echo -n "XXXXXX"|sha256sum|tr -d '-'
#获取default用户SHA1密码字符串：
echo -n "XXXXXX" | sha1sum | tr -d '-' | xxd -r -p | sha1sum | tr -d '-'
#获取qrl用户SHA1密码字符串：
echo -n "XXXXXX" | sha1sum | tr -d '-' | xxd -r -p | sha1sum | tr -d '-'

• 修改配置文件users.xml，用于设置默认账户及日常使用账户的密码、客户端地址限制等。如:

    
             e39c50ed2c92ebdac15ef6d504a2fdd9e4474bffdd69044639da6d9e7e7b7e2c
            
                192.168.8.1/24
                10.8.10.1/24
            
            default
            default
        
           f71fe142b6042323b353ba3ba1468671474c142b77a8db87e028992c84d144b5
            
                192.168.8.1/24
                10.8.10.1/24
            
            default
            default
        
    

或：