add document about SEM

YangKeao · YangKeao · commit 8c42f539c83c · 2025-08-11T17:45:01.000+08:00
Signed-off-by: Yang Keao &lt;yangkeao@chunibyo.icu&gt;
diff --git a/TOC.md b/TOC.md
@@ -221,6 +221,7 @@
     - [静态加密](/encryption-at-rest.md)
     - [为 TiDB 落盘文件开启加密](/enable-disk-spill-encrypt.md)
     - [日志脱敏](/log-redaction.md)
+    - [安全增强模式](/security-enhanced-mode.md)
   - 升级 TiDB 版本
     - [使用 TiUP 升级](/upgrade-tidb-using-tiup.md)
     - [使用 TiDB Operator](https://docs.pingcap.com/zh/tidb-in-kubernetes/stable/upgrade-a-tidb-cluster)
diff --git a/basic-features.md b/basic-features.md
@@ -207,7 +207,7 @@ aliases: ['/docs-cn/dev/basic-features/','/docs-cn/dev/experimental-features-4.0
 | [密码管理](/password-management.md) |  Y |  Y |  Y  | Y | Y | N | N | N | N | N |
 | [与 MySQL 兼容的 `GRANT` 权限管理](/privilege-management.md) |  Y |  Y |  Y  | Y | Y | Y | Y | Y | Y | Y |
 | [动态权限](/privilege-management.md#动态权限) |  Y |  Y |  Y  | Y | Y | Y | Y | Y | Y | Y |
-| [安全增强模式](/system-variables.md#tidb_enable_enhanced_security) |  Y |  Y |  Y  | Y | Y | Y | Y | Y | Y | Y |
+| [安全增强模式](/security-enhanced-mode.md) |  Y |  Y |  Y  | Y | Y | Y | Y | Y | Y | Y |
 | [日志脱敏](/log-redaction.md) |  Y |  Y |  Y  | Y | Y | Y | Y | Y | Y | Y |
 
 ## 数据导入和导出
diff --git a/system-variables.md b/system-variables.md
@@ -1834,15 +1834,17 @@ mysql> SELECT job_info FROM mysql.analyze_jobs ORDER BY end_time DESC LIMIT 1;
 
 - 作用域：NONE
 - 是否受 Hint [SET_VAR](/optimizer-hints.md#set_varvar_namevar_value) 控制：否
-- 类型：布尔型
+- 类型：字符串
 - 默认值：`OFF`
-- 这个变量表示所连接的 TiDB 服务器是否启用了安全增强模式 (SEM)。若要改变该变量值，你需要在 TiDB 服务器的配置文件中修改 `enable-sem` 项的值，并重启 TiDB 服务器。
+- 可选值：`OFF`，`ON`，`CONFIG`
+- 这个变量表示所连接的 TiDB 服务器是否启用了安全增强模式 (SEM)。若要改变该变量值，你需要在 TiDB 服务器的配置文件中修改 `enable-sem` 项和 `sem-config` 的值，并重启 TiDB 服务器。
 - 安全增强模式受[安全增强式 Linux](https://zh.wikipedia.org/wiki/安全增强式Linux) 等系统设计的启发，削减拥有 MySQL `SUPER` 权限的用户能力，转而使用细粒度的 `RESTRICTED` 权限作为替代。这些细粒度的 `RESTRICTED` 权限如下：
     - `RESTRICTED_TABLES_ADMIN`：能够写入 `mysql` 库中的系统表，能查看 `information_schema` 表上的敏感列。
     - `RESTRICTED_STATUS_ADMIN`：能够在 `SHOW STATUS` 命令中查看敏感内容。
     - `RESTRICTED_VARIABLES_ADMIN`：能够在 `SHOW [GLOBAL] VARIABLES` 和 `SET` 命令中查看和设置包含敏感内容的变量。
     - `RESTRICTED_USER_ADMIN`：能够阻止其他用户更改或删除用户帐户。
     - `RESTRICTED_CONNECTION_ADMIN`：能够阻止其它用户使用 `KILL` 语句终止连接。
+- 更多与此功能有关的配置，请参考文档：[安全增强模式（SEM）](/security-enhanced-mode.md)的。
 
 ### `tidb_enable_exchange_partition`
 
diff --git a/tidb-configuration-file.md b/tidb-configuration-file.md
@@ -382,10 +382,16 @@ TiDB 配置文件比命令行参数支持更多的选项。你可以在 [config/
 
 ### `enable-sem`
 
-- 启用安全增强模式 (SEM)。
+- 启用[安全增强模式 (SEM)](/security-enhanced-mode.md)。
 - 默认值：`false`
 - 可以通过系统变量 [`tidb_enable_enhanced_security`](/system-variables.md#tidb_enable_enhanced_security) 获取安全增强模式的状态。
 
+### `sem-config`
+
+- 设置自定义的[安全增强模式（SEM）](/security-enhanced-mode.md)行为。
+- 默认值：`""`
+- 可以通过系统变量 [`tidb_enable_enhanced_security`](/system-variables.md#tidb_enable_enhanced_security) 获取安全增强模式的状态。
+
 ### `ssl-ca`
 
 + PEM 格式的受信任 CA 的证书文件路径。
