취약점 개요
■ 위험도
- 상
■ 점검 목적
- 불필요한 계정 존재 유무를 점검하여 불필요한 계정 정보(패스워드)의 유출 시 발생할 수 있는 비인가자의 DB 접근에 대비되어 있는지 확인하기 위함
■ 보안 위협
- DB 관리나 운용에 상요하지 않는 불필요한 계정이 존재할 경우 비인가자가 불필요한 계정을 이용하여 DB에 접근하여 데이터를 열람, 삭제, 수정할 위험이 존재함
점검 및 조치 방법
■ 판단 기준
- 양호: 패스워드를 주기적으로 변경하고, 패스워드 정책이 적용되어 있는 경우
- 취약: 패스워드를 주기적으로 변경하지 않거나, 패스워드 정책이 없는 경우
■ 조치 방법
○ Oracle 1. 불필요한 Demonstration 계정 및 오브젝트 삭제 SQL> DROP USER ‘삭제할 계정' 2. 계정 잠금/만료 SQL> ALTER USER ‘잠금/만료 계정' ACCOUNT LOCK PASSWORD EXPIRE
○ MSSQL 불필요한 계정 삭제 Exec sp_droplogin ‘삭제할 계정'
○ MySQL 불필요한 계정 삭제 mysql> Delete from user where user=’삭제할 계정’
=== 설정 방법 ===
■ Oracle
1.패스워드 정책 상태 점검
SQL> SELECT RESOURCE_NAME, LIMIT FROM DBA_PROFILES WHERE PROFILE=’DEFAULT’;
2.미 설정 시 패스워드 정책 프로파일 생성
Sql> CREATE PROFILE grace_5 LIMIT
FAILED_LOGIN_ATTEMPTS 3 (패스워드 실패를 3번까지만 가능)
PASSWORD_LOCK_TIME 1/1440 (패스워드 잠금이 해제될 때까지의 시간, 1/1440 = 1분)
PASSWORD_LIFE_TIME 90 (90일동안만 패스워드를 사용)
PASSWORD_GRACE_TIME 5 (만료되기 5일전부터 변경하라는 알람)
PASSWORD_REUSE_TIME 30 (한번 사용한 패스워드를 다시 사용하려면 30일 후부터 재사용 가능)
PASSWORD_VERIFY_FUNCTION verify_function; (패스워드 확인 함수)
3.사용자에게 패스워드 프로파일 적용
SQL> ALTER USER haksa PROFILE scott_pass;
haksa 사용자에게 scott_pass 프로파일을 적용.
참고 URL : 참고 URL : http://radiocom.kunsan.ac.kr/lecture/oracle/what_is/password.html
■ MSSQL
1. 패스워드 변경 주기가 60일 이내로 설정되지 않은 경우 패스워드 변경 주기 설정
MSSQL에서 ‘암호 만료 강제 적용’을 체크함으로써 주기적으로 변경이 가능하며, 변경기간은 OS의
‘암호정책’에서 적용받으므로 ‘암호 정책 > 최대 암호 사용 기간’ 설정도 같이 변경해야 함
2. 암호 만료 강제 적용
[보안]> [로그인]> [각 로그인 계정]> [속성]>
6/37
암호 만료 강제 적용: 설정(체크) 확인
3. OS의 암호 정책 설정
[관리도구]> [로컬 보안 정책]> [보안 설정]> [계정 정책]> [암호 정책]
‘최대 암호 사용 기간 : ’60일’ 설정
■ MySQL
1. 패스워드 설정 규칙 적용
패스워드 설정 규칙에 맞추어 패스워드를 설정할 수 있도록 시스템 차원에서 기능 제공
2. 패스워드 관리 적용
패스워드 신규 적용 및 초기화 시 설정 규칙에 맞추어 관리하고, 저장 시에는 일방향 암호
알고리즘을 통한 암호화 처리(One-Way Encryption)
3. 패스워드 변경기능 구현
사용자가 패스워드 설정규칙 내에서 스스로 패스워드를 변경할 수 있도록 기능 제공
7/37
패스워드 설정은 다음과 같은 방법으로 가능
mysql> use mysql
mysql> update user set password=password(‘new password’) where user=’user name’;
mysql> flush privileges; 또는,
mysql> set password for ‘user name’@’%’=password(‘new password’)
mysql> flush privileges;