1.本发明属于数据库、信息安全和网络安全
技术领域:
:,更具体地,涉及一种用于堡垒机的数据库高危指令审核方法和系统。
背景技术:
::2.堡垒机是为了保障特定内部网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便实现报警、及时处理及审计定责。堡垒机的工作原理主要是阻断网络和客户端设备对数据库的直接访问,通过协议代理的方式,对所有的方案和操作行为进行分析和过滤,从而保证了可信的数据访问和操作被放行,不可信或被怀疑的操作行为将被过滤和拦截。3.数据库是一个长期存储在计算机内的、有组织的、可共享的、统一管理的大量数据的集合。在信息化时代,数据库是企事业单位信息系统的战略性资产,正所谓“设备有价,数据无价”,必须要求对数据库进行严格的防范和监控,以防止被非法和恶意的操作。随着信息化的不断发展,信息安全的威胁也在持续增长。根据统计:目前100%的企业存在数据安全的威胁。82%的企业存在数据泄露的风险。75%企业存在系统和应用程序的漏洞。众多的企业还未对数据访问行为进行审计监控,并且无法及时对于操作行为做出应对措施。因此对数据库高危指令进行审批和审计操作的需求迫切性很高。4.当前用于数据库高危指令审批的方法主要有:1、通过在远程桌面服务器上面安装访问控制端,加载windows文件保护(windowsfileprotection,简称wfp)驱动,拦截数据库流量到审计服务端,并在流量上打上相应的账号信息,流量到达审计服务端后,解析账号信息,查询是否有相应的权限;2、通过在数据客户端配置对应的高危指令文件,用户操作是会访问配置文件来查询是否具有相应的操作权限;3、利用相关的代理程序,在代理程序上配置固定的规则文件,通过固定的规则实现客户端相关的操作是否具有对应的操作权限。5.然而,现有的数据库高危指令审批操作均存在一些不可忽略的缺陷:第一、在远程服务器安装对应的控制端,本身操作就不安全,极有可能易会造成整个服务器被破坏;第二、写在客户端固定配置文件的方式,无法根据具体的操作需求实现实时的高危指令设置和审批操作;第三、写在中间代理程序的配置文件的方式,基本无法实现与客户端实时交互和审批的操作处理流程。技术实现要素:6.针对现有技术的以上缺陷或改进需求,本发明提供了一种用于堡垒机的实时交互的数据库高危指令审核方法和系统,其目的在于,解决现有数据库高危指令审批操作由于在远程服务器安装对应的控制端,导致操作不安全,并会造成整个服务器被破坏的技术问题,以及由于采用写在客户端固定配置文件的方式,导致无法根据具体的操作需求实现实时的高危指令设置和审批操作的技术问题,以及由于采用写在中间代理程序的配置文件的方式,导致无法实现与客户端实时交互和审批的操作处理流程的技术问题。7.为实现上述目的,按照本发明的一个方面,提供了一种用于堡垒机的数据库高危指令审核方法和系统,包括以下步骤:8.(1)客户端配置用于运维数据库服务器的高危指令集,并向堡垒机发送连接请求;9.(2)堡垒机在接收到来自客户端的连接请求后为客户端分配监听端口号,把端口号发给客户端,并开启mysqlagent程序,以监听来自客户端的连接请求;10.(3)客户端向堡垒机发送高危指令集;11.(4)堡垒机在接收到来自客户端的高危指令集后建立对应的配置文件并进行保存。12.(5)客户端在接收到用户输入的mysql登录指令后发起与堡垒机的连接请求;13.(6)堡垒机在监听到来自客户端的连接请求后与数据库服务器建立连接;14.(7)客户端输入运维指令,以通过堡垒机对数据库服务器进行运维操作;15.(8)堡垒机拦截客户端输入的运维指令,并根据步骤(4)建立的配置文件判断该运维指令的类型;16.(9)堡垒机根据步骤(8)确定的运维指令的类型对该运维指令进行对应的操作。17.(10)堡垒机在对数据库服务器的运维操作结束时关闭mysqlagent程序和监控转发程序,建立mysql客户端的运维结束时间信息,并将该运维结束时间信息发送到堡垒机。18.优选地,客户端通过堡垒机与数据库服务器连接;19.客户端包括运维客户端系统以及mysql客户端;20.堡垒机包括python转发程序、监控转发程序、mysqlagent程序、以日志数据库;21.数据库服务器上设置有mysql服务器。22.优选地,步骤(2)包括以下子步骤:23.(2-1)堡垒机中的python转发程序监听到来自客户端的连接请求后与堡垒机中的监控转发程序建立连接,并将该连接请求转发到监控转发程序;24.(2-2)堡垒机中的监控转发程序在接收到连接请求后为堡垒机的mysqlagent程序动态分配监听端口号(如4006),并将该监听端口号发送到堡垒机中的python转发程序,同时开启一个进程运行堡垒机中的mysqlagent程序;25.(2-3)堡垒机中的mysqlagent程序开始监听客户端中的mysql客户端的连接请求。26.优选地,指令的类型包括告警类指令、超时或拒绝后阻断指令、超时或拒绝后断开会话指令、阻断类指令、以及断开会话类指令。27.优选地,步骤(5)包括以下子步骤:28.(5-1)客户端中的运维客户端系统调用并开启mysql客户端;29.(5-2)客户端中的mysql客户端在接收到用户输入的mysql登录指令后,发起与堡垒机中的mysqlagent程序的连接请求。30.步骤(6)包括以下子步骤:31.(6-1)堡垒机中的mysqlagent程序在监听到来自客户端的连接请求后建立与客户端中mysql客户端的连接;32.(6-2)堡垒机中的mysqlagent程序根据客户端中mysql客户端的连接请求建立与运维数据库服务器的连接,以实现对来自mysql客户端的指令和数据库服务器的响应信息进行转发操作。33.优选地,如果运维指令为告警类指令,则步骤(9)具体为:堡垒机中的mysqlagent程序将该运维指令转发到数据库服务器中的mysql服务器,mysql服务器执行该运维指令并将执行结果返回给堡垒机中的mysqlagent程序;堡垒机中的mysqlagent程序拦截数据库服务器中的mysql服务器的响应结果,并在执行结果后面加上告警信息,将添加了告警信息的执行结果转发到客户端中的mysql客户端,同时构造日志信息,并将其写回给堡垒机中的python转发程序,最后堡垒机中的python转发程序在接收到该日志信息并解析后,将其写入日志数据库保存。34.如果运维指令为阻断类指令,则步骤(9)具体为:堡垒机中的mysqlagent程序直接阻断该运维指令的转发操作,然后根据mysql服务器到mysql客户端的mysql协议报文格式伪造一条警告报文信息,然后将伪造的警告报文信息转发给mysql客户端显示,同时构造一条日志信息写回给堡垒机中的python转发程序,堡垒机中的python转发程序在接收到日志信息并解析后,将其写入日志数据库保存;35.优选地,如果运维指令为超时或拒绝后断开会话指令,则步骤(9)具体为:堡垒机中的mysqlagent程序根据mysql客户端到mysql服务器的mysql协议报文格式构造一条带有quit命令的数据包,然后使用伪造的带有quit命令的数据包替换该运维指令所在的数据包,并将其转发给数据库服务器中的mysql服务器,实现客户端中的mysql客户端与数据库服务器中的mysql服务器断开会话连接,最后,构造一条日志信息写回给堡垒机中的python转发程序,堡垒机中的python转发程序在接收到该日志信息并解析后,将其写入日志数据库保存。36.优选地,如果运维指令为超时或拒绝后阻断指令,则步骤(9)具体为,如果运维指令为审批类(阻断)指令,则堡垒机中的mysqlagent程序构造指令审批请求信息,将其通过python转发程序发送到运维客户端系统进行实时审批操作,并等待接收来自运维客户端系统的审批结果;如果审批结果为通过,则堡垒机中的mysqlagent程序将该运维指令转发到数据库服务器中的mysql服务器,mysql服务器执行该运维指令并返回指令执行结果,堡垒机中的mysqlagent程序在接收到指令执行结果后将其转发到客户端中的mysql客户端显示;37.若审批结果为不通过或审批超时,则堡垒机中的mysqlagent程序将该运维指令转发给mysql服务器,同时堡垒机中的mysqlagent程序根据mysql服务器到mysql客户端的mysql协议报文格式伪造一条警告报文信息,然后再将伪造的警告报文信息转发给客户端中的mysql客户端显示,同时另外构造一条日志信息写回给堡垒机中的python转发程序,堡垒机中的python转发程序接收到该日志信息并解析后,将其写入日志数据库保存。38.如果运维指令为超时或拒绝后断开会话指令,则步骤(9)具体为:堡垒机中的mysqlagent程序构造指令审批请求信息,通过python转发程序发送到运维客户端系统进行实时的审批操作,并等待接收来自运维客户端系统的审批结果;如果审批结果为通过,则堡垒机中的mysqlagent程序将该运维指令准到数据库服务器中的mysql服务器,mysql服务器执行运维指令并返回指令执行结果,堡垒机中的mysqlagent程序接收指令执行结果并转发给客户端中的mysql客户端显示;39.若审批结果为不通过或审批超时,则堡垒机中的mysqlagent程序阻断该运维指令的转发,同时根据mysql客户端到mysql服务器的mysql协议的报文格式构造带有quit命令的数据包,然后使用伪造的带有quit命令的数据包替换原有运维指令所在的数据包,并转发给数据库服务器中的mysql服务器,实现与mysql服务器断开会话连接,最后堡垒机中的mysqlagent程序构造一条日志信息并将其转发到堡垒机中的python转发程序,堡垒机中的python转发程序在接收到该日志信息并解析后,将其写入日志数据库保存。40.优选地,如果运维指令为通过类指令,则堡垒机中的mysqlagent程序将该运维指令转发给数据库服务器上的mysql服务器,等待mysql服务器执行该运维指令后产生的执行结果,然后将该执行结果转发给客户端中的mysql客户端显示。41.按照本发明的另一方面,提供了一种用于堡垒机的数据库高危指令审核系统,包括:42.第一模块,其设置于客户端中,用于配置用于运维数据库服务器的高危指令集,并向堡垒机发送连接请求;43.第二模块,其设置于堡垒机中,用于在接收到来自客户端的连接请求后为客户端分配监听端口号,把端口号发给客户端,并开启mysqlagent程序,以监听来自客户端的连接请求;44.第三模块,其设置于客户端中,用于向堡垒机发送高危指令集;45.第四模块,其设置于堡垒机中,用于在接收到来自客户端的高危指令集后建立对应的配置文件并进行保存。46.第五模块,其设置于客户端中,用于在接收到用户输入的mysql登录指令后发起与堡垒机的连接请求;47.第六模块,其设置于堡垒机中,用于在监听到来自客户端的连接请求后与数据库服务器建立连接;48.第七模块,其设置于客户端中,用于输入运维指令,以通过堡垒机对数据库服务器进行运维操作;49.第八模块,其设置于堡垒机中,用于拦截客户端输入的运维指令,并根据第四模块建立的配置文件判断该运维指令的类型;50.第九模块,其设置于堡垒机中,用于根据第八模块确定的运维指令的类型对该运维指令进行对应的操作。51.第十模块,其设置于堡垒机中,用于在对数据库服务器的运维操作结束时关闭mysqlagent程序和监控转发程序,建立mysql客户端的运维结束时间信息,并将该运维结束时间信息发送到堡垒机。52.总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:53.1、由于本发明分离开客户端、堡垒机、数据库服务器三端,数据库代理程序和配置文件运行在堡垒机上,可以真正的避免远端数据库服务器受到误操作和攻击行为,避免某一端被破坏而不影响另一端的服务,使服务更安全;54.2、由于本发明采用了步骤(1)、步骤(3)、以及步骤(4),在运维数据库服务器中的mysql服务器开始时,就进行客户端与堡垒机交互,客户端发送当前运维mysql服务器的高危指令集类别,堡垒机中的mysqlagent程序建立对应的配置文件记录,堡垒机可以根据所运维mysql服务器需求,实现实时的定制配置文件过滤规则,达到对不同数据库服务器中的mysql服务器定制不同高危指令集的效果;55.3、由于本发明采用了步骤(7)、步骤(8)、以及步骤(9),在运维数据库服务器中的mysql服务器的过程中,堡垒机中的mysqlagent程序会根据先前配置文件里高危指令规则拦截并转发客户端的操作命令请求,如果是审批类指令,堡垒机中的mysqlagent程序就会实时的与客户端中的运维客户端系统建立连接并交互审核命令,客户端中的运维客户端系统可实时的审核mysql客户端的运维指令,审批是否通过或阻断,堡垒机中的mysqlagent程序根据客户端的运维客户端系统的审核结果来转发或阻断运维指令,从而实现客户端、堡垒机和数据库服务器之间的运维指令级别审核与阻断的实时交互处理;56.4、由于本发明采用了步骤(9)和步骤(10),在运维数据库服务器中的mysql服务器过程中,堡垒机中的mysqlagent程序会实时把运维操作的指令审批过程以日志的格式发送给堡垒机中的python转发程序进行保存到日志数据库中,可以实现对运维数据库服务器中mysql服务器的操作过程进行全程监控与追踪,实现可追踪性。附图说明57.图1是本发明用于堡垒机的数据库高危指令审核方法的流程示意图;58.图2是本发明客户端、堡垒机、数据库服务器的位置关系及运行其上的软件程序示意图;59.图3是本发明用于堡垒机的数据库高危指令审核方法的细化流程示意图。具体实施方式60.为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。61.针对当前堡垒机数据库高危指令审批操作实时性、可配置性、交互性不足问题,本发明提出了一种具有针对不同运维数据库服务器可配置不同的特有高危指令集、以及在运维过程中堡垒机针对高危指令集与客户端进行实时交互审批的方法。用户在运维开始时,客户端中的运维客户端系统与堡垒机中的监控转发程序建立连接发送高危指令集,堡垒机中的监控转发程序保存对应的配置文件,到达实时可配置性;以及在运维过程中堡垒机中的mysqlagent程序检测到高危指令时,对于审批类指令可实时的与客户端中的运维客户端系统进行实时审批交互,达到根据审批结果来实时阻断或执行该指令,使得审批过程具有更好的实时性和交互性。62.如图1和图3所示,本发明提供了一种用于堡垒机的数据库高危指令审核方法,包括以下步骤:63.(1)客户端配置用于运维数据库服务器的高危指令集,并向堡垒机发送连接请求;64.(2)堡垒机在接收到来自客户端的连接请求后为客户端分配监听端口号,把端口号发给客户端,并开启mysqlagent程序,以监听来自客户端的连接请求;65.本步骤的优点在于,堡垒机可以同时监控多个mysql客户端与mysql服务器通信。66.具体而言,本步骤包括以下子步骤:67.(2-1)堡垒机中的python转发程序监听到来自客户端的连接请求后与堡垒机中的监控转发程序建立连接,并将该连接请求转发到监控转发程序;68.(2-2)堡垒机中的监控转发程序在接收到连接请求后为堡垒机的mysqlagent程序动态分配监听端口号(如4006),并将该监听端口号发送到堡垒机中的python转发程序,同时开启一个进程运行堡垒机中的mysqlagent程序;69.(2-3)堡垒机中的mysqlagent程序开始监听客户端中的mysql客户端的连接请求。70.本发明的客户端、堡垒机、数据库服务器的位置关系如图2所示。客户端包括运维客户端系统、mysql客户端。堡垒机包括:python转发程序、监控转发程序、mysqlagent程序和日志数据库。数据库服务器上设置有mysql服务器。71.(3)客户端向堡垒机发送高危指令集;72.(4)堡垒机在接收到来自客户端的高危指令集后建立对应的配置文件并进行保存。73.本步骤的优点在于,可以针对不同的mysql服务器,根据其具体需求实时建立不同的高危指令集配置文件,以实现步骤(9)的过滤和审核操作。74.具体而言,本步骤首先是对高危指令集进行解析,以获取多个不同的类型,然后,将所有类型的高危指令集写入对应的配置文件中并进行保存。75.更具体而言,堡垒机接收到的高危指令集格式如下:76.{"method":"highrisk_set","session_id":"1e971cb109","data":{"time_out":60,"risk_list":{"insert":1,"update":3,"delete":2,"drop":5,"truncate":4}}}77.risk_list对应高危指令集类型:1:告警类(即insert指令);2:审批类(即delete,超时或拒绝后阻断指令);3:审批类(即update,超时或拒绝后断开会话指令);4:阻断类(即truncate);5:断开会话类(即drop);78.(5)客户端在接收到用户输入的mysql登录指令后发起与堡垒机的连接请求;79.具体而言,本步骤包括以下子步骤:80.(5-1)客户端中的运维客户端系统调用并开启mysql客户端;81.(5-2)客户端中的mysql客户端在接收到用户输入的mysql登录指令后,发起与堡垒机中的mysqlagent程序的连接请求;82.登录指令格式:mysql–uroot–h10.200.102.197–p4006–p12345683.其中u表示指定用户,–h表示堡垒机ip,–p表示指定端口号,–p表示指定用户密码;84.(6)堡垒机在监听到来自客户端的连接请求后与数据库服务器建立连接;85.具体而言,本步骤包括以下子步骤:86.(6-1)堡垒机中的mysqlagent程序在监听到来自客户端的连接请求后建立与客户端中mysql客户端的连接;87.(6-2)堡垒机中的mysqlagent程序根据客户端中mysql客户端的连接请求建立与运维数据库服务器的连接,以实现对来自mysql客户端的指令和数据库服务器的响应信息进行转发操作。88.(7)客户端输入运维指令,以通过堡垒机对数据库服务器进行运维操作;89.具体而言,客户端中的mysql客户端输入对应的操作指令,开始对数据库服务器进行运维操作;90.(8)堡垒机拦截客户端输入的运维指令,并根据步骤(4)建立的配置文件判断该运维指令的类型;91.(9)堡垒机根据步骤(8)确定的运维指令的类型对该运维指令进行对应的操作;92.本步骤的优点在于,堡垒机可根据步骤(4)中的高危指令配置文件,实时的拦截和过滤客户端的运维指令,并根据高危指令集的类别实时的与客户端交互,实现实时的对运维指令的审核与阻断操作。93.具体而言,如果运维指令为告警类指令,则堡垒机中的mysqlagent程序将该运维指令转发到数据库服务器中的mysql服务器,mysql服务器执行该运维指令并将执行结果返回给堡垒机中的mysqlagent程序;堡垒机中的mysqlagent程序拦截数据库服务器中的mysql服务器的响应结果,并在执行结果后面加上告警信息(###alertcommand###),将添加了告警信息的执行结果转发到客户端中的mysql客户端,同时构造日志信息,并将其写回给堡垒机中的python转发程序,最后堡垒机中的python转发程序在接收到该日志信息并解析后,将其写入日志数据库保存。94.日志信息采用json格式:95.{"url":"/rpc/log","sid":"1e971cb109","action":1,"cmd":"001","approvers":"批准人","dst_ip":"127.0.0.1","src_ip":"10.200.102.130"}action:1敏感指令执行2指令阻断3会话阻断5申请被批准6申请被拒绝7申请超时(指令阻断)8申请超时(会话阻断)9取消96.添加告警信息是根据mysql协议报文格式进行操作的,mysql服务器到mysql客户端的mysql协议报文格式:[0097][0098]如果运维指令为阻断类指令,则堡垒机中的mysqlagent程序直接阻断该运维指令的转发操作,然后根据mysql服务器到mysql客户端的mysql协议报文格式伪造一条警告报文信息,然后将伪造的警告报文信息转发给mysql客户端显示,同时构造一条日志信息写回给堡垒机中的python转发程序,堡垒机中的python转发程序在接收到日志信息并解析后,将其写入日志数据库保存。[0099]如果运维指令为断开会话类指令,堡垒机中的mysqlagent程序根据mysql客户端到mysql服务器的mysql协议报文格式构造一条带有quit命令的数据包,然后使用伪造的带有quit命令的数据包替换该运维指令所在的数据包,并将其转发给数据库服务器中的mysql服务器,实现客户端中的mysql客户端与数据库服务器中的mysql服务器断开会话连接,最后,构造一条日志信息写回给堡垒机中的python转发程序,堡垒机中的python转发程序在接收到该日志信息并解析后,将其写入日志数据库保存。[0100]mysql客户端到mysql服务器的mysql协议的报文格式:[0101][0102]如果运维指令为审批类(阻断)指令,则堡垒机中的mysqlagent程序构造指令审批请求信息,将其通过python转发程序发送到运维客户端系统进行实时审批操作,并等待接收来自运维客户端系统的审批结果;如果审批结果为通过,则堡垒机中的mysqlagent程序将该运维指令转发到数据库服务器中的mysql服务器,mysql服务器执行该运维指令并返回指令执行结果,堡垒机中的mysqlagent程序在接收到指令执行结果后将其转发到客户端中的mysql客户端显示;[0103]若审批结果为不通过或审批超时,则堡垒机中的mysqlagent程序将该运维指令转发给mysql服务器,同时堡垒机中的mysqlagent程序根据mysql服务器到mysql客户端的mysql协议报文格式伪造一条警告报文信息,然后再将伪造的警告报文信息转发给客户端中的mysql客户端显示,同时另外构造一条日志信息写回给堡垒机中的python转发程序,堡垒机中的python转发程序接收到该日志信息并解析后,将其写入日志数据库保存。[0104]指令审批请求信息json格式:[0105]{"url":"/rpc/riskcmd","cmd":"delete","session_id":"1e971cb109","user":"testhyw","accuser":"root"}[0106]指令审批结果信息json格式:[0107]{"method":"risk_approve","session_id":"1e971cb109","cmd":"delete","action":0,"approvers":"adminhyw"}[0108]"action":0代表审批通过,非0代表审批拒绝。[0109]如果运维指令为审批类(断开会话)指令,堡垒机中的mysqlagent程序构造指令审批请求信息,通过python转发程序发送到运维客户端系统进行实时的审批操作,并等待接收来自运维客户端系统的审批结果;如果审批结果为通过,则堡垒机中的mysqlagent程序将该运维指令准到数据库服务器中的mysql服务器,mysql服务器执行运维指令并返回指令执行结果,堡垒机中的mysqlagent程序接收指令执行结果并转发给客户端中的mysql客户端显示;[0110]若审批结果为不通过或审批超时,则堡垒机中的mysqlagent程序阻断该运维指令的转发,同时根据mysql客户端到mysql服务器的mysql协议的报文格式构造带有quit命令的数据包,然后使用伪造的带有quit命令的数据包替换原有运维指令所在的数据包,并转发给数据库服务器中的mysql服务器,实现与mysql服务器断开会话连接,最后堡垒机中的mysqlagent程序构造一条日志信息并将其转发到堡垒机中的python转发程序,堡垒机中的python转发程序在接收到该日志信息并解析后,将其写入日志数据库保存。[0111]如果运维指令为通过类指令(即不属于上述任何一种类型的指令),则堡垒机中的mysqlagent程序将该运维指令转发给数据库服务器上的mysql服务器,等待mysql服务器执行该运维指令后产生的执行结果,然后将该执行结果转发给客户端中的mysql客户端显示。[0112](10)堡垒机在对数据库服务器的运维操作结束时关闭mysqlagent程序和监控转发程序,建立mysql客户端的运维结束时间信息,并将该运维结束时间信息发送到堡垒机。[0113]具体而言,堡垒机是将运维结束时间信息发送到堡垒机的python转发程序,以记录整个mysql数据库运维操作的时间。[0114]运维结束时间信息的json格式是:[0115]{"end_time":"2022-06-2322:25:17","conn_ip":"10.200.102.189","conn_port":"4006"}}[0116]实验结果[0117]本节通过搭建本发明运行所需的测试环境进行测试,详细的环境描述如表1所示:[0118]表1[0119][0120]针对客户端输入不同的高危指令集,堡垒机对数据库高危指令实时审核与阻断的结果如下所示:[0121]使用步骤(4)配置的高危指令集:[0122]如果输入告警类指令:insertintoc(id)values(1001);[0123]则客户端显示:[0124]queryok,1rowaffected(0.01sec)[0125]###alertcommand###[0126]如果输入断开会话类指令:droptabled;[0127]则断开会话连接[0128]如果输入阻断类指令:truncatetabled;[0129]则客户端显示阻断信息:[0130]error1141(hy000):accessdeniedforuser‘root’[0131]如果输入审批类指令:deletetabled;[0132]则等待审批操作。[0133]本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。当前第1页12当前第1页12
技术领域:
:,更具体地,涉及一种用于堡垒机的数据库高危指令审核方法和系统。
背景技术:
::2.堡垒机是为了保障特定内部网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便实现报警、及时处理及审计定责。堡垒机的工作原理主要是阻断网络和客户端设备对数据库的直接访问,通过协议代理的方式,对所有的方案和操作行为进行分析和过滤,从而保证了可信的数据访问和操作被放行,不可信或被怀疑的操作行为将被过滤和拦截。3.数据库是一个长期存储在计算机内的、有组织的、可共享的、统一管理的大量数据的集合。在信息化时代,数据库是企事业单位信息系统的战略性资产,正所谓“设备有价,数据无价”,必须要求对数据库进行严格的防范和监控,以防止被非法和恶意的操作。随着信息化的不断发展,信息安全的威胁也在持续增长。根据统计:目前100%的企业存在数据安全的威胁。82%的企业存在数据泄露的风险。75%企业存在系统和应用程序的漏洞。众多的企业还未对数据访问行为进行审计监控,并且无法及时对于操作行为做出应对措施。因此对数据库高危指令进行审批和审计操作的需求迫切性很高。4.当前用于数据库高危指令审批的方法主要有:1、通过在远程桌面服务器上面安装访问控制端,加载windows文件保护(windowsfileprotection,简称wfp)驱动,拦截数据库流量到审计服务端,并在流量上打上相应的账号信息,流量到达审计服务端后,解析账号信息,查询是否有相应的权限;2、通过在数据客户端配置对应的高危指令文件,用户操作是会访问配置文件来查询是否具有相应的操作权限;3、利用相关的代理程序,在代理程序上配置固定的规则文件,通过固定的规则实现客户端相关的操作是否具有对应的操作权限。5.然而,现有的数据库高危指令审批操作均存在一些不可忽略的缺陷:第一、在远程服务器安装对应的控制端,本身操作就不安全,极有可能易会造成整个服务器被破坏;第二、写在客户端固定配置文件的方式,无法根据具体的操作需求实现实时的高危指令设置和审批操作;第三、写在中间代理程序的配置文件的方式,基本无法实现与客户端实时交互和审批的操作处理流程。技术实现要素:6.针对现有技术的以上缺陷或改进需求,本发明提供了一种用于堡垒机的实时交互的数据库高危指令审核方法和系统,其目的在于,解决现有数据库高危指令审批操作由于在远程服务器安装对应的控制端,导致操作不安全,并会造成整个服务器被破坏的技术问题,以及由于采用写在客户端固定配置文件的方式,导致无法根据具体的操作需求实现实时的高危指令设置和审批操作的技术问题,以及由于采用写在中间代理程序的配置文件的方式,导致无法实现与客户端实时交互和审批的操作处理流程的技术问题。7.为实现上述目的,按照本发明的一个方面,提供了一种用于堡垒机的数据库高危指令审核方法和系统,包括以下步骤:8.(1)客户端配置用于运维数据库服务器的高危指令集,并向堡垒机发送连接请求;9.(2)堡垒机在接收到来自客户端的连接请求后为客户端分配监听端口号,把端口号发给客户端,并开启mysqlagent程序,以监听来自客户端的连接请求;10.(3)客户端向堡垒机发送高危指令集;11.(4)堡垒机在接收到来自客户端的高危指令集后建立对应的配置文件并进行保存。12.(5)客户端在接收到用户输入的mysql登录指令后发起与堡垒机的连接请求;13.(6)堡垒机在监听到来自客户端的连接请求后与数据库服务器建立连接;14.(7)客户端输入运维指令,以通过堡垒机对数据库服务器进行运维操作;15.(8)堡垒机拦截客户端输入的运维指令,并根据步骤(4)建立的配置文件判断该运维指令的类型;16.(9)堡垒机根据步骤(8)确定的运维指令的类型对该运维指令进行对应的操作。17.(10)堡垒机在对数据库服务器的运维操作结束时关闭mysqlagent程序和监控转发程序,建立mysql客户端的运维结束时间信息,并将该运维结束时间信息发送到堡垒机。18.优选地,客户端通过堡垒机与数据库服务器连接;19.客户端包括运维客户端系统以及mysql客户端;20.堡垒机包括python转发程序、监控转发程序、mysqlagent程序、以日志数据库;21.数据库服务器上设置有mysql服务器。22.优选地,步骤(2)包括以下子步骤:23.(2-1)堡垒机中的python转发程序监听到来自客户端的连接请求后与堡垒机中的监控转发程序建立连接,并将该连接请求转发到监控转发程序;24.(2-2)堡垒机中的监控转发程序在接收到连接请求后为堡垒机的mysqlagent程序动态分配监听端口号(如4006),并将该监听端口号发送到堡垒机中的python转发程序,同时开启一个进程运行堡垒机中的mysqlagent程序;25.(2-3)堡垒机中的mysqlagent程序开始监听客户端中的mysql客户端的连接请求。26.优选地,指令的类型包括告警类指令、超时或拒绝后阻断指令、超时或拒绝后断开会话指令、阻断类指令、以及断开会话类指令。27.优选地,步骤(5)包括以下子步骤:28.(5-1)客户端中的运维客户端系统调用并开启mysql客户端;29.(5-2)客户端中的mysql客户端在接收到用户输入的mysql登录指令后,发起与堡垒机中的mysqlagent程序的连接请求。30.步骤(6)包括以下子步骤:31.(6-1)堡垒机中的mysqlagent程序在监听到来自客户端的连接请求后建立与客户端中mysql客户端的连接;32.(6-2)堡垒机中的mysqlagent程序根据客户端中mysql客户端的连接请求建立与运维数据库服务器的连接,以实现对来自mysql客户端的指令和数据库服务器的响应信息进行转发操作。33.优选地,如果运维指令为告警类指令,则步骤(9)具体为:堡垒机中的mysqlagent程序将该运维指令转发到数据库服务器中的mysql服务器,mysql服务器执行该运维指令并将执行结果返回给堡垒机中的mysqlagent程序;堡垒机中的mysqlagent程序拦截数据库服务器中的mysql服务器的响应结果,并在执行结果后面加上告警信息,将添加了告警信息的执行结果转发到客户端中的mysql客户端,同时构造日志信息,并将其写回给堡垒机中的python转发程序,最后堡垒机中的python转发程序在接收到该日志信息并解析后,将其写入日志数据库保存。34.如果运维指令为阻断类指令,则步骤(9)具体为:堡垒机中的mysqlagent程序直接阻断该运维指令的转发操作,然后根据mysql服务器到mysql客户端的mysql协议报文格式伪造一条警告报文信息,然后将伪造的警告报文信息转发给mysql客户端显示,同时构造一条日志信息写回给堡垒机中的python转发程序,堡垒机中的python转发程序在接收到日志信息并解析后,将其写入日志数据库保存;35.优选地,如果运维指令为超时或拒绝后断开会话指令,则步骤(9)具体为:堡垒机中的mysqlagent程序根据mysql客户端到mysql服务器的mysql协议报文格式构造一条带有quit命令的数据包,然后使用伪造的带有quit命令的数据包替换该运维指令所在的数据包,并将其转发给数据库服务器中的mysql服务器,实现客户端中的mysql客户端与数据库服务器中的mysql服务器断开会话连接,最后,构造一条日志信息写回给堡垒机中的python转发程序,堡垒机中的python转发程序在接收到该日志信息并解析后,将其写入日志数据库保存。36.优选地,如果运维指令为超时或拒绝后阻断指令,则步骤(9)具体为,如果运维指令为审批类(阻断)指令,则堡垒机中的mysqlagent程序构造指令审批请求信息,将其通过python转发程序发送到运维客户端系统进行实时审批操作,并等待接收来自运维客户端系统的审批结果;如果审批结果为通过,则堡垒机中的mysqlagent程序将该运维指令转发到数据库服务器中的mysql服务器,mysql服务器执行该运维指令并返回指令执行结果,堡垒机中的mysqlagent程序在接收到指令执行结果后将其转发到客户端中的mysql客户端显示;37.若审批结果为不通过或审批超时,则堡垒机中的mysqlagent程序将该运维指令转发给mysql服务器,同时堡垒机中的mysqlagent程序根据mysql服务器到mysql客户端的mysql协议报文格式伪造一条警告报文信息,然后再将伪造的警告报文信息转发给客户端中的mysql客户端显示,同时另外构造一条日志信息写回给堡垒机中的python转发程序,堡垒机中的python转发程序接收到该日志信息并解析后,将其写入日志数据库保存。38.如果运维指令为超时或拒绝后断开会话指令,则步骤(9)具体为:堡垒机中的mysqlagent程序构造指令审批请求信息,通过python转发程序发送到运维客户端系统进行实时的审批操作,并等待接收来自运维客户端系统的审批结果;如果审批结果为通过,则堡垒机中的mysqlagent程序将该运维指令准到数据库服务器中的mysql服务器,mysql服务器执行运维指令并返回指令执行结果,堡垒机中的mysqlagent程序接收指令执行结果并转发给客户端中的mysql客户端显示;39.若审批结果为不通过或审批超时,则堡垒机中的mysqlagent程序阻断该运维指令的转发,同时根据mysql客户端到mysql服务器的mysql协议的报文格式构造带有quit命令的数据包,然后使用伪造的带有quit命令的数据包替换原有运维指令所在的数据包,并转发给数据库服务器中的mysql服务器,实现与mysql服务器断开会话连接,最后堡垒机中的mysqlagent程序构造一条日志信息并将其转发到堡垒机中的python转发程序,堡垒机中的python转发程序在接收到该日志信息并解析后,将其写入日志数据库保存。40.优选地,如果运维指令为通过类指令,则堡垒机中的mysqlagent程序将该运维指令转发给数据库服务器上的mysql服务器,等待mysql服务器执行该运维指令后产生的执行结果,然后将该执行结果转发给客户端中的mysql客户端显示。41.按照本发明的另一方面,提供了一种用于堡垒机的数据库高危指令审核系统,包括:42.第一模块,其设置于客户端中,用于配置用于运维数据库服务器的高危指令集,并向堡垒机发送连接请求;43.第二模块,其设置于堡垒机中,用于在接收到来自客户端的连接请求后为客户端分配监听端口号,把端口号发给客户端,并开启mysqlagent程序,以监听来自客户端的连接请求;44.第三模块,其设置于客户端中,用于向堡垒机发送高危指令集;45.第四模块,其设置于堡垒机中,用于在接收到来自客户端的高危指令集后建立对应的配置文件并进行保存。46.第五模块,其设置于客户端中,用于在接收到用户输入的mysql登录指令后发起与堡垒机的连接请求;47.第六模块,其设置于堡垒机中,用于在监听到来自客户端的连接请求后与数据库服务器建立连接;48.第七模块,其设置于客户端中,用于输入运维指令,以通过堡垒机对数据库服务器进行运维操作;49.第八模块,其设置于堡垒机中,用于拦截客户端输入的运维指令,并根据第四模块建立的配置文件判断该运维指令的类型;50.第九模块,其设置于堡垒机中,用于根据第八模块确定的运维指令的类型对该运维指令进行对应的操作。51.第十模块,其设置于堡垒机中,用于在对数据库服务器的运维操作结束时关闭mysqlagent程序和监控转发程序,建立mysql客户端的运维结束时间信息,并将该运维结束时间信息发送到堡垒机。52.总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:53.1、由于本发明分离开客户端、堡垒机、数据库服务器三端,数据库代理程序和配置文件运行在堡垒机上,可以真正的避免远端数据库服务器受到误操作和攻击行为,避免某一端被破坏而不影响另一端的服务,使服务更安全;54.2、由于本发明采用了步骤(1)、步骤(3)、以及步骤(4),在运维数据库服务器中的mysql服务器开始时,就进行客户端与堡垒机交互,客户端发送当前运维mysql服务器的高危指令集类别,堡垒机中的mysqlagent程序建立对应的配置文件记录,堡垒机可以根据所运维mysql服务器需求,实现实时的定制配置文件过滤规则,达到对不同数据库服务器中的mysql服务器定制不同高危指令集的效果;55.3、由于本发明采用了步骤(7)、步骤(8)、以及步骤(9),在运维数据库服务器中的mysql服务器的过程中,堡垒机中的mysqlagent程序会根据先前配置文件里高危指令规则拦截并转发客户端的操作命令请求,如果是审批类指令,堡垒机中的mysqlagent程序就会实时的与客户端中的运维客户端系统建立连接并交互审核命令,客户端中的运维客户端系统可实时的审核mysql客户端的运维指令,审批是否通过或阻断,堡垒机中的mysqlagent程序根据客户端的运维客户端系统的审核结果来转发或阻断运维指令,从而实现客户端、堡垒机和数据库服务器之间的运维指令级别审核与阻断的实时交互处理;56.4、由于本发明采用了步骤(9)和步骤(10),在运维数据库服务器中的mysql服务器过程中,堡垒机中的mysqlagent程序会实时把运维操作的指令审批过程以日志的格式发送给堡垒机中的python转发程序进行保存到日志数据库中,可以实现对运维数据库服务器中mysql服务器的操作过程进行全程监控与追踪,实现可追踪性。附图说明57.图1是本发明用于堡垒机的数据库高危指令审核方法的流程示意图;58.图2是本发明客户端、堡垒机、数据库服务器的位置关系及运行其上的软件程序示意图;59.图3是本发明用于堡垒机的数据库高危指令审核方法的细化流程示意图。具体实施方式60.为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。61.针对当前堡垒机数据库高危指令审批操作实时性、可配置性、交互性不足问题,本发明提出了一种具有针对不同运维数据库服务器可配置不同的特有高危指令集、以及在运维过程中堡垒机针对高危指令集与客户端进行实时交互审批的方法。用户在运维开始时,客户端中的运维客户端系统与堡垒机中的监控转发程序建立连接发送高危指令集,堡垒机中的监控转发程序保存对应的配置文件,到达实时可配置性;以及在运维过程中堡垒机中的mysqlagent程序检测到高危指令时,对于审批类指令可实时的与客户端中的运维客户端系统进行实时审批交互,达到根据审批结果来实时阻断或执行该指令,使得审批过程具有更好的实时性和交互性。62.如图1和图3所示,本发明提供了一种用于堡垒机的数据库高危指令审核方法,包括以下步骤:63.(1)客户端配置用于运维数据库服务器的高危指令集,并向堡垒机发送连接请求;64.(2)堡垒机在接收到来自客户端的连接请求后为客户端分配监听端口号,把端口号发给客户端,并开启mysqlagent程序,以监听来自客户端的连接请求;65.本步骤的优点在于,堡垒机可以同时监控多个mysql客户端与mysql服务器通信。66.具体而言,本步骤包括以下子步骤:67.(2-1)堡垒机中的python转发程序监听到来自客户端的连接请求后与堡垒机中的监控转发程序建立连接,并将该连接请求转发到监控转发程序;68.(2-2)堡垒机中的监控转发程序在接收到连接请求后为堡垒机的mysqlagent程序动态分配监听端口号(如4006),并将该监听端口号发送到堡垒机中的python转发程序,同时开启一个进程运行堡垒机中的mysqlagent程序;69.(2-3)堡垒机中的mysqlagent程序开始监听客户端中的mysql客户端的连接请求。70.本发明的客户端、堡垒机、数据库服务器的位置关系如图2所示。客户端包括运维客户端系统、mysql客户端。堡垒机包括:python转发程序、监控转发程序、mysqlagent程序和日志数据库。数据库服务器上设置有mysql服务器。71.(3)客户端向堡垒机发送高危指令集;72.(4)堡垒机在接收到来自客户端的高危指令集后建立对应的配置文件并进行保存。73.本步骤的优点在于,可以针对不同的mysql服务器,根据其具体需求实时建立不同的高危指令集配置文件,以实现步骤(9)的过滤和审核操作。74.具体而言,本步骤首先是对高危指令集进行解析,以获取多个不同的类型,然后,将所有类型的高危指令集写入对应的配置文件中并进行保存。75.更具体而言,堡垒机接收到的高危指令集格式如下:76.{"method":"highrisk_set","session_id":"1e971cb109","data":{"time_out":60,"risk_list":{"insert":1,"update":3,"delete":2,"drop":5,"truncate":4}}}77.risk_list对应高危指令集类型:1:告警类(即insert指令);2:审批类(即delete,超时或拒绝后阻断指令);3:审批类(即update,超时或拒绝后断开会话指令);4:阻断类(即truncate);5:断开会话类(即drop);78.(5)客户端在接收到用户输入的mysql登录指令后发起与堡垒机的连接请求;79.具体而言,本步骤包括以下子步骤:80.(5-1)客户端中的运维客户端系统调用并开启mysql客户端;81.(5-2)客户端中的mysql客户端在接收到用户输入的mysql登录指令后,发起与堡垒机中的mysqlagent程序的连接请求;82.登录指令格式:mysql–uroot–h10.200.102.197–p4006–p12345683.其中u表示指定用户,–h表示堡垒机ip,–p表示指定端口号,–p表示指定用户密码;84.(6)堡垒机在监听到来自客户端的连接请求后与数据库服务器建立连接;85.具体而言,本步骤包括以下子步骤:86.(6-1)堡垒机中的mysqlagent程序在监听到来自客户端的连接请求后建立与客户端中mysql客户端的连接;87.(6-2)堡垒机中的mysqlagent程序根据客户端中mysql客户端的连接请求建立与运维数据库服务器的连接,以实现对来自mysql客户端的指令和数据库服务器的响应信息进行转发操作。88.(7)客户端输入运维指令,以通过堡垒机对数据库服务器进行运维操作;89.具体而言,客户端中的mysql客户端输入对应的操作指令,开始对数据库服务器进行运维操作;90.(8)堡垒机拦截客户端输入的运维指令,并根据步骤(4)建立的配置文件判断该运维指令的类型;91.(9)堡垒机根据步骤(8)确定的运维指令的类型对该运维指令进行对应的操作;92.本步骤的优点在于,堡垒机可根据步骤(4)中的高危指令配置文件,实时的拦截和过滤客户端的运维指令,并根据高危指令集的类别实时的与客户端交互,实现实时的对运维指令的审核与阻断操作。93.具体而言,如果运维指令为告警类指令,则堡垒机中的mysqlagent程序将该运维指令转发到数据库服务器中的mysql服务器,mysql服务器执行该运维指令并将执行结果返回给堡垒机中的mysqlagent程序;堡垒机中的mysqlagent程序拦截数据库服务器中的mysql服务器的响应结果,并在执行结果后面加上告警信息(###alertcommand###),将添加了告警信息的执行结果转发到客户端中的mysql客户端,同时构造日志信息,并将其写回给堡垒机中的python转发程序,最后堡垒机中的python转发程序在接收到该日志信息并解析后,将其写入日志数据库保存。94.日志信息采用json格式:95.{"url":"/rpc/log","sid":"1e971cb109","action":1,"cmd":"001","approvers":"批准人","dst_ip":"127.0.0.1","src_ip":"10.200.102.130"}action:1敏感指令执行2指令阻断3会话阻断5申请被批准6申请被拒绝7申请超时(指令阻断)8申请超时(会话阻断)9取消96.添加告警信息是根据mysql协议报文格式进行操作的,mysql服务器到mysql客户端的mysql协议报文格式:[0097][0098]如果运维指令为阻断类指令,则堡垒机中的mysqlagent程序直接阻断该运维指令的转发操作,然后根据mysql服务器到mysql客户端的mysql协议报文格式伪造一条警告报文信息,然后将伪造的警告报文信息转发给mysql客户端显示,同时构造一条日志信息写回给堡垒机中的python转发程序,堡垒机中的python转发程序在接收到日志信息并解析后,将其写入日志数据库保存。[0099]如果运维指令为断开会话类指令,堡垒机中的mysqlagent程序根据mysql客户端到mysql服务器的mysql协议报文格式构造一条带有quit命令的数据包,然后使用伪造的带有quit命令的数据包替换该运维指令所在的数据包,并将其转发给数据库服务器中的mysql服务器,实现客户端中的mysql客户端与数据库服务器中的mysql服务器断开会话连接,最后,构造一条日志信息写回给堡垒机中的python转发程序,堡垒机中的python转发程序在接收到该日志信息并解析后,将其写入日志数据库保存。[0100]mysql客户端到mysql服务器的mysql协议的报文格式:[0101][0102]如果运维指令为审批类(阻断)指令,则堡垒机中的mysqlagent程序构造指令审批请求信息,将其通过python转发程序发送到运维客户端系统进行实时审批操作,并等待接收来自运维客户端系统的审批结果;如果审批结果为通过,则堡垒机中的mysqlagent程序将该运维指令转发到数据库服务器中的mysql服务器,mysql服务器执行该运维指令并返回指令执行结果,堡垒机中的mysqlagent程序在接收到指令执行结果后将其转发到客户端中的mysql客户端显示;[0103]若审批结果为不通过或审批超时,则堡垒机中的mysqlagent程序将该运维指令转发给mysql服务器,同时堡垒机中的mysqlagent程序根据mysql服务器到mysql客户端的mysql协议报文格式伪造一条警告报文信息,然后再将伪造的警告报文信息转发给客户端中的mysql客户端显示,同时另外构造一条日志信息写回给堡垒机中的python转发程序,堡垒机中的python转发程序接收到该日志信息并解析后,将其写入日志数据库保存。[0104]指令审批请求信息json格式:[0105]{"url":"/rpc/riskcmd","cmd":"delete","session_id":"1e971cb109","user":"testhyw","accuser":"root"}[0106]指令审批结果信息json格式:[0107]{"method":"risk_approve","session_id":"1e971cb109","cmd":"delete","action":0,"approvers":"adminhyw"}[0108]"action":0代表审批通过,非0代表审批拒绝。[0109]如果运维指令为审批类(断开会话)指令,堡垒机中的mysqlagent程序构造指令审批请求信息,通过python转发程序发送到运维客户端系统进行实时的审批操作,并等待接收来自运维客户端系统的审批结果;如果审批结果为通过,则堡垒机中的mysqlagent程序将该运维指令准到数据库服务器中的mysql服务器,mysql服务器执行运维指令并返回指令执行结果,堡垒机中的mysqlagent程序接收指令执行结果并转发给客户端中的mysql客户端显示;[0110]若审批结果为不通过或审批超时,则堡垒机中的mysqlagent程序阻断该运维指令的转发,同时根据mysql客户端到mysql服务器的mysql协议的报文格式构造带有quit命令的数据包,然后使用伪造的带有quit命令的数据包替换原有运维指令所在的数据包,并转发给数据库服务器中的mysql服务器,实现与mysql服务器断开会话连接,最后堡垒机中的mysqlagent程序构造一条日志信息并将其转发到堡垒机中的python转发程序,堡垒机中的python转发程序在接收到该日志信息并解析后,将其写入日志数据库保存。[0111]如果运维指令为通过类指令(即不属于上述任何一种类型的指令),则堡垒机中的mysqlagent程序将该运维指令转发给数据库服务器上的mysql服务器,等待mysql服务器执行该运维指令后产生的执行结果,然后将该执行结果转发给客户端中的mysql客户端显示。[0112](10)堡垒机在对数据库服务器的运维操作结束时关闭mysqlagent程序和监控转发程序,建立mysql客户端的运维结束时间信息,并将该运维结束时间信息发送到堡垒机。[0113]具体而言,堡垒机是将运维结束时间信息发送到堡垒机的python转发程序,以记录整个mysql数据库运维操作的时间。[0114]运维结束时间信息的json格式是:[0115]{"end_time":"2022-06-2322:25:17","conn_ip":"10.200.102.189","conn_port":"4006"}}[0116]实验结果[0117]本节通过搭建本发明运行所需的测试环境进行测试,详细的环境描述如表1所示:[0118]表1[0119][0120]针对客户端输入不同的高危指令集,堡垒机对数据库高危指令实时审核与阻断的结果如下所示:[0121]使用步骤(4)配置的高危指令集:[0122]如果输入告警类指令:insertintoc(id)values(1001);[0123]则客户端显示:[0124]queryok,1rowaffected(0.01sec)[0125]###alertcommand###[0126]如果输入断开会话类指令:droptabled;[0127]则断开会话连接[0128]如果输入阻断类指令:truncatetabled;[0129]则客户端显示阻断信息:[0130]error1141(hy000):accessdeniedforuser‘root’[0131]如果输入审批类指令:deletetabled;[0132]则等待审批操作。[0133]本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。当前第1页12当前第1页12
再多了解一些
本文用于创业者技术爱好者查询,仅供学习研究,如用于商业用途,请联系技术所有人。
