TDengine 权限管理与安全配置实战（二）

五、网络安全配置

5.1 防火墙策略

在 TDengine 的部署中，合理配置防火墙策略是保障系统网络安全的重要环节。防火墙策略能够限制对 TDengine 相关端口的访问，防止未经授权的网络连接，从而降低系统遭受攻击的风险。

• TDengine 端口概述：TDengine 在运行过程中使用多个端口进行不同的通信和服务，了解这些端口的用途对于正确配置防火墙策略至关重要。

• • 集群通信端口：如 6030 端口（TDengine 3.x 版本），用于集群内各个数据节点之间的通信，包括数据同步、状态信息交互等。在一个分布式的物联网数据采集系统中，多个 TDengine 数据节点通过 6030 端口进行数据同步，确保各个节点上的数据一致性 。

• • HTTP 接口端口：6041 端口（taosAdapter 组件使用），提供 RESTful API 接口，允许用户通过 HTTP 协议与 TDengine 进行交互，例如进行数据的插入、查询等操作。在一个基于 Web 的物联网数据监控平台中，前端应用通过 6041 端口向 TDengine 发送 HTTP 请求，获取设备的实时数据 。

• • 监控端口：6043 端口（taosKeeper 使用），用于监控 TDengine 集群的状态，收集性能指标等信息，以便管理员及时了解系统的运行状况。管理员可以通过该端口获取集群的 CPU 使用率、内存占用等监控数据，进行系统性能的分析和优化 。

• • Web 管理界面端口：6060 端口（taosExplorer 使用），用于访问 Web 管理界面，用户可以通过浏览器在该界面上进行数据库管理、用户管理、权限配置等操作 。

• 防火墙规则配置示例：根据不同的操作系统，防火墙的配置方式有所不同，以下以常见的 Linux 操作系统为例，展示如何配置防火墙规则以允许 TDengine 相关端口的访问。

• • iptables 配置：iptables 是 Linux 系统中常用的防火墙工具，以下命令用于添加允许 TDengine 相关端口访问的规则：

iptables -A INPUT -p tcp --dport 6030 -j ACCEPT --comment "taosd port"

iptables -A INPUT -p tcp --dport 6041 -j ACCEPT --comment "taosadapter port"

iptables -A INPUT -p tcp --dport 6043 -j ACCEPT --comment "taoskeeper port"

iptables -A INPUT -p tcp --dport 6060 -j ACCEPT --comment "taos - explorer port"

• firewalld 配置：firewalld 是 Red Hat 系 Linux 系统中推荐使用的防火墙管理工具，配置命令如下：

firewall - cmd --zone = public --add - port = 6030/tcp

firewall - cmd --zone = public --add - port = 6041/tcp

firewall - cmd --zone = public --add - port = 6043/tcp

firewall - cmd --zone = public --add - port = 6060/tcp

• ufw 配置：ufw（Uncomplicated Firewall）是 Ubuntu 系统默认的防火墙工具，基于 iptables 构建，配置更为简单，命令如下：

ufw allow 6030/tcp

ufw allow 6041/tcp

ufw allow 6043/tcp

ufw allow 6060/tcp

通过以上配置，防火墙将允许对 TDengine 相关端口的访问，同时阻止其他未经授权的网络连接，提高系统的网络安全性 。

5.2 数据加密传输

在数据传输过程中，确保数据的机密性和完整性是至关重要的，TDengine 支持 TLS 加密协议，能够有效保障数据在传输过程中的安全性，防止数据被窃取或篡改 。

• TLS 加密原理：TLS（Transport Layer Security）加密协议通过在客户端和服务器之间建立安全的连接，对传输的数据进行加密处理。它使用公钥加密和对称加密相结合的方式，在连接建立阶段，客户端和服务器通过交换数字证书来验证对方的身份，并协商出一个对称加密密钥，之后的数据传输都使用这个对称密钥进行加密和解密 。

• TDengine 配置 TLS 加密：在 TDengine 中配置 TLS 加密需要进行以下步骤：

• • 生成证书：使用工具（如 OpenSSL）生成服务器证书和客户端证书。首先生成服务器的私钥和证书签名请求（CSR），然后使用 CA（证书颁发机构）对 CSR 进行签名，生成服务器证书。对于客户端，同样生成私钥和 CSR，由 CA 签名生成客户端证书 。

• • 配置服务器：在 TDengine 服务器的配置文件taos.cfg中，配置证书相关参数，如ssl_cert_file（服务器证书文件路径）、ssl_key_file（服务器私钥文件路径），启用 TLS 加密功能 。假设服务器证书文件为server.crt，私钥文件为server.key，在taos.cfg文件中添加或修改如下配置：

ssl_cert_file = /path/to/server.crt

ssl_key_file = /path/to/server.key

ssl_enable = 1

• 配置客户端：在客户端连接 TDengine 时，需要配置信任的 CA 证书，以及启用 TLS 加密。以 TDengine Python 连接器为例，配置示例如下：

import taos

# 配置连接参数，启用TLS加密并指定CA证书路径

conn = taos.connect(

host='your_host',

user='your_user',

password='your_password',

port=6030,

config='/etc/taos',

ssl_ca='/path/to/ca.crt',

ssl_enable=True

)

通过以上配置，TDengine 在数据传输过程中会使用 TLS 加密协议，保障数据的安全性。即使数据在传输过程中被截获，由于数据已经被加密，攻击者也无法获取其真实内容，有效防止了数据泄露和篡改，满足了对数据安全性要求较高的应用场景，如金融数据传输、物联网敏感数据通信等 。

六、生产环境最佳实践

6.1 权限最小化原则

在生产环境中，遵循权限最小化原则是保障系统安全的基石，它确保每个用户和进程仅拥有完成其任务所必需的最小权限集，从而最大限度地降低因权限滥用或权限泄露导致的安全风险。

采用角色继承机制

TDengine 支持通过角色继承机制来实现权限的合理分配。角色继承允许管理员创建具有特定权限的基础角色，然后其他角色可以从这些基础角色继承权限，并且还可以根据需要添加或覆盖特定的权限。

例如，在一个大型物联网项目中，可能存在多个不同的业务角色，如数据采集员、数据分析员和系统管理员。我们可以创建一个基础的 “数据读取” 角色，赋予其对相关数据库和表的只读权限。然后，数据分析员角色可以继承 “数据读取” 角色的权限，并额外被授予对特定分析工具和数据处理函数的执行权限。而数据采集员角色则继承 “数据读取” 角色权限的同时，被授予对采集数据相关表的写入权限，但不能进行数据查询以外的其他操作。通过这种角色继承机制，能够清晰地定义每个角色的权限边界，减少权限分配的复杂性和错误。

定期审计权限分配

定期审计权限分配是确保权限最小化原则有效实施的重要手段。通过定期检查用户和角色的权限分配情况，可以及时发现并纠正权限过度分配或权限不合理的问题。

建议每隔一段时间（如每月或每季度）进行一次权限审计。审计过程中，首先要对用户的实际工作内容和职责进行梳理，然后对比其当前拥有的权限，检查是否存在权限超出其工作需求的情况。例如，若发现某个普通员工拥有了对整个数据库的写入权限，但实际上其工作仅涉及数据查询，就需要及时收回多余的写入权限。同时，也要关注新创建的用户和角色，确保其权限分配符合最小化原则。此外，审计结果应记录在案，以便后续查阅和追踪，对于发现的权限问题，要及时采取措施进行调整和修复，确保系统权限始终处于合理且安全的状态 。

6.2 高可用安全配置

在生产环境中，保障系统的高可用性和数据安全至关重要，通过实施一系列高可用安全配置措施，可以有效降低系统故障和数据泄露的风险，确保业务的连续性和数据的完整性。

集群节点间通信加密

在分布式系统中，集群节点间的通信安全是保障整个系统安全的关键环节。TDengine 支持使用 TLS 加密协议来保护集群节点间的数据传输。

• 配置步骤：

• • 生成证书：使用 OpenSSL 等工具生成服务器证书和客户端证书。生成服务器私钥和证书签名请求（CSR），然后通过 CA（证书颁发机构）对 CSR 进行签名，获取服务器证书。客户端也按照类似流程生成私钥和 CSR 并获取客户端证书 。

• • 配置服务器：在 TDengine 服务器的配置文件 taos.cfg 中，配置证书相关参数，如 ssl_cert_file（指定服务器证书文件路径）、ssl_key_file（指定服务器私钥文件路径），启用 TLS 加密功能 。假设服务器证书文件路径为 /etc/taos/certs/server.crt，私钥文件路径为 /etc/taos/certs/server.key，则在 taos.cfg 文件中添加或修改如下配置：

ssl_cert_file = /etc/taos/certs/server.crt

ssl_key_file = /etc/taos/certs/server.key

ssl_enable = 1

• 配置客户端：在集群节点作为客户端连接其他节点时，同样需要配置信任的 CA 证书，以及启用 TLS 加密。以 Python 连接为例，在连接参数中指定相关证书路径和启用 TLS 选项：

import taos

# 配置连接参数，启用TLS加密并指定CA证书路径

conn = taos.connect(

host='other_node_host',

user='your_user',

password='your_password',

port=6030,

config='/etc/taos',

ssl_ca='/etc/taos/certs/ca.crt',

ssl_enable=True

)

通过以上配置，集群节点间的数据传输将被加密，即使数据在传输过程中被截获，攻击者也无法获取其真实内容，有效防止了数据泄露和篡改，保障了集群通信的安全性 。

数据备份加密存储

数据备份是防止数据丢失的重要手段，而对备份数据进行加密存储则进一步增强了数据的安全性，防止备份数据在存储过程中被非法访问或窃取。

• 加密方式选择：TDengine 支持多种加密算法，如 AES-256 等。AES-256 是一种对称加密算法，具有较高的安全性和广泛的应用。

• 备份加密配置：在进行数据备份时，需要配置加密相关参数。假设使用 TDengine 自带的备份工具进行备份，在配置文件中添加加密相关配置。例如，在备份配置文件 taos_backup.cfg 中添加如下配置：

encryption_method = aes - 256

encryption_key = your_secret_key

其中，encryption_key 是加密密钥，需要妥善保管，确保密钥的安全性。这样，在进行数据备份时，备份数据将使用指定的加密算法和密钥进行加密存储。即使备份数据存储介质丢失或被盗，由于数据已加密，攻击者也难以获取其中的敏感信息 。

敏感操作二次验证

为了防止敏感操作被误执行或被非法用户恶意操作，TDengine 可以结合业务系统实现敏感操作的二次验证机制。

• 实现原理：当用户执行敏感操作（如删除重要数据库、修改关键用户权限等）时，系统首先会提示用户进行二次验证。二次验证可以采用多种方式，如短信验证码、邮件验证码、硬件令牌等。以短信验证码为例，当用户发起敏感操作时，系统会向用户绑定的手机发送一条包含验证码的短信，用户需要在规定时间内输入正确的验证码，系统验证通过后才会执行该敏感操作。

• 示例代码（以 Python Flask 框架结合 TDengine 为例）：

from flask import Flask, request, jsonify

import taos

import random

import smtplib

from email.mime.text import MIMEText

app = Flask(__name__)

# TDengine连接配置

taos_conn = taos.connect(

host='your_host',

user='your_user',

password='your_password',

port=6030,

config='/etc/taos'

)

# 模拟发送短信验证码（实际需接入短信服务提供商API）

def send_sms_verification_code(phone_number, code):

# 这里仅为示例，实际需替换为真实短信发送逻辑

msg = MIMEText(f'您的验证码是: {code}')

msg['Subject'] = 'TDengine敏感操作验证'

msg['From'] ='sender_email@example.com'

msg['To'] = phone_number

try:

server = smtplib.SMTP('smtp.example.com', 587)

server.starttls()

server.login('sender_email@example.com', 'password')

server.sendmail('sender_email@example.com', phone_number, msg.as_string())

server.quit()

return True

except Exception as e:

print(f'发送短信失败: {e}')

return False

# 敏感操作接口

@app.route('/sensitive_operation', methods=['POST'])

def sensitive_operation():

data = request.json

operation = data.get('operation')

phone_number = data.get('phone_number') # 假设用户已绑定手机号并在请求中传递

if operation in ['DROP DATABASE', 'ALTER USER PRIVILEGES']: # 假设这些为敏感操作

verification_code = random.randint(100000, 999999)

if send_sms_verification_code(phone_number, verification_code):

user_input_code = request.json.get('verification_code')

if user_input_code == verification_code:

# 执行敏感操作的TDengine命令

cursor = taos_conn.cursor()

cursor.execute(data.get('sql_command'))

taos_conn.commit()

return jsonify({'message': '操作成功'})

else:

return jsonify({'message': '验证码错误，操作失败'})

else:

return jsonify({'message': '验证码发送失败，操作取消'})

else:

# 非敏感操作，直接执行

cursor = taos_conn.cursor()

cursor.execute(data.get('sql_command'))

taos_conn.commit()

return jsonify({'message': '操作成功'})

if __name__ == '__main__':

app.run(debug=True)

通过这种二次验证机制，可以有效减少敏感操作的风险，提高系统的安全性 。

七、总结与展望

本文通过实战案例演示了 TDengine 权限管理的核心功能，结合最新的 3.0.5.0 版本特性，重点介绍了基于标签的细粒度授权和消息订阅安全机制。在生产环境部署时，建议结合企业版的完整功能，配合网络层安全策略和数据加密技术，构建全方位的时序数据安全体系。未来 TDengine 将持续优化权限管理功能，提供更灵活的 RBAC 模型和自动化审计工具。（注：本文示例基于 TDengine 3.0.5.0 版本，实际操作请参考官方文档）