关于 Apache Doris 认证和授权模块中审计日志缺失的讨论

[lujiefsi]

关于 Apache Doris 认证和授权模块中审计日志缺失的讨论

背景

在对 Apache Doris 的认证（Authentication）和授权（Authorization）相关代码进行分析时，我注意到在认证和授权的关键模块中似乎缺少审计日志记录，而在 ConnectProcessor 中，审计日志仅在每个语句（statement）执行后记录。这可能导致认证和授权阶段的安全事件未被及时记录和审计。

审计日志在安全管理中非常重要，它可以帮助管理员追踪用户的登录尝试、权限检查失败的操作以及潜在的安全威胁。因此，我希望与社区讨论在认证和授权模块中是否应该添加审计日志支持，或者是否已经在其他地方实现了相关功能而我未注意到。

问题与观察

1. 认证阶段缺少审计日志：

   • 在分析 checkPassword 和 getAuthorizationInfo 方法时，代码通过 Env.getCurrentEnv().getAuth().checkPlainPassword 验证用户凭据。如果验证失败，抛出 UnauthorizedException，但未看到调用类似 AuditLogHelper 或其他日志记录工具的代码。
   • 缺少记录的内容可能包括：登录尝试的用户名、远程 IP 地址、时间戳、成功或失败的结果等。
   • 示例代码片段：

     try {
         Env.getCurrentEnv().getAuth().checkPlainPassword(authInfo.fullUserName,
                 authInfo.remoteIp, authInfo.password, currentUser);
     } catch (AuthenticationException e) {
         throw new UnauthorizedException(e.formatErrMsg());
     }

2. 授权阶段缺少审计日志：

   • 在 checkTblAuth 方法中，权限检查失败时抛出 UnauthorizedException，并提供缺少权限的详细信息，但未记录到审计日志。
   • 缺少记录的内容可能包括：操作的用户身份、目标资源（catalog/db/table）、尝试的操作类型、缺少的权限等。
   • 示例代码片段：

     if (!Env.getCurrentEnv().getAccessManager()
             .checkTblPriv(currentUser, catalog, db, tbl, predicate)) {
         throw new UnauthorizedException("Access denied; you need (at least one of) the "
                 + predicate.getPrivs().toString() + " privilege(s) for this operation");
     }

3. ConnectProcessor 中的审计日志：

   • 我注意到在 ConnectProcessor 或相关模块中，审计日志（如通过 AuditLogHelper）在每个语句（statement）执行后记录，例如在 StmtExecutor 的 auditAfterExec 方法中。这确实记录了用户的操作行为，但仅限于成功执行或执行后的错误。
   • 问题：这种方式无法捕获认证失败（如无效用户名或密码）或授权失败（如权限检查未通过）的事件，因为这些事件发生在语句执行之前，可能会在连接初始化阶段或权限检查阶段直接抛出异常并中断流程。
   • 因此，认证和授权阶段的安全事件（如登录失败或权限拒绝）可能未被记录到审计日志中。

讨论问题

• 当前实现：在 Apache Doris 的认证和授权模块中，是否已经在其他地方实现了审计日志记录？如果是，具体在哪些类或方法中？
• 设计考虑：如果确实缺少认证和授权阶段的审计日志，是否是出于性能或其他设计考虑？添加审计日志是否会显著影响系统性能？
• 改进建议：是否应该在认证和授权的关键点添加审计日志支持？例如：
  • 在认证失败时记录用户名、IP 地址和失败原因。
  • 在权限检查失败时记录用户身份、目标资源和缺少的权限。

初步建议

如果社区认为审计日志在认证和授权模块中是必要的，我建议以下改进方向：

1. 认证阶段：在 checkPassword 方法或其调用者中，添加审计日志记录，捕获登录尝试的详细信息。

   • 示例伪代码：

     try {
         Env.getCurrentEnv().getAuth().checkPlainPassword(authInfo.fullUserName,
                 authInfo.remoteIp, authInfo.password, currentUser);
         AuditLogHelper.logAuthSuccess(authInfo.fullUserName, authInfo.remoteIp);
     } catch (AuthenticationException e) {
         AuditLogHelper.logAuthFailure(authInfo.fullUserName, authInfo.remoteIp, e.getMessage());
         throw new UnauthorizedException(e.formatErrMsg());
     }

2. 授权阶段：在 checkTblAuth 方法或类似权限检查方法中，添加审计日志记录权限检查失败的事件。

   • 示例伪代码：

     if (!Env.getCurrentEnv().getAccessManager()
             .checkTblPriv(currentUser, catalog, db, tbl, predicate)) {
         AuditLogHelper.logAccessDenied(currentUser, catalog, db, tbl, predicate.getPrivs());
         throw new UnauthorizedException("Access denied; you need (at least one of) the "
                 + predicate.getPrivs().toString() + " privilege(s) for this operation");
     }

3. 日志格式：定义统一的审计日志格式，包含时间戳、事件类型（认证/授权）、用户身份、操作结果等字段，便于后续分析。

期待反馈

我希望听到社区对这一问题的看法，特别是 Doris 开发者和维护者的意见。如果审计日志已经在其他地方实现，请指出相关代码位置，以便我学习和理解。如果社区认为需要添加认证和授权阶段的审计日志支持，我愿意参与讨论。

感谢大家的关注和反馈！

[morningman]

Actually, all statement executed in Doris should be written in audit log, no matter it is success, error, authentication/authorization fail or any other reason.
Maybe we miss some critical path.
You can add my wechat(morningman-cmy) so we can talk in detail.
Thank you.