[DBMS/데이터베이스/dbms] 기본 계정의 패스워드, 정책 등을 변경하여 사용
- 정보보안/데이터베이스
- 2022. 8. 26.
D-01 기본 계정의 패스워드, 정책 등을 변경하여 사용
■ 점검영역 : 계정관리
■ 항목 중요도 : 상
■ 점검내용
DBMS 기본 계정의 디폴트 패스워드 및 권한 정책을 변경하여 사용하는지 점검
■ 점검목적
DBMS 기본 계정의 디폴트 패스워드 및 권한 정책 변경 사용 유무를 점검하여 비인가자의 디폴트 패스워드 대입 공격을 차단하고 있는지 확인하기 위함
■ 보안위협
DBMS 기본 계정 디폴트 패스워드 및 권한 정책을 변경하지 않을 경우 비인가자가 인터넷 통해 DBMS 기본 계정의 디폴트 패스워드를 획득하여 디폴트 패스워드를 그대로 사용하고 있는 DB에 접근하여 기본 계정에 부여된 권한의 취약점을 이용하여 DB 정보를 유출할 수 있는 위험이 존재함
■ 참고
※ 기본 계정: DB 설치 후 초기에 기본으로 생성되어있는 DBMS 관리용 계정(예 sa)
※ 디폴트 패스워드: 관리자 계정(예: sa)에 기본으로 지정되어있는 패스워드
점검대상 및 판단기준(데이터베이스/dbms 취약점 진단)
■ 대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, PostgreSQL 등
양호
기본 계정의 디폴트 패스워드 및 권한 정책을 변경하여 사용하는 경우
취약
기본 계정의 디폴트 패스워드 및 권한 정책을 변경하지 않고 사용하는 경우
■ 조치방법
기본(관리자) 계정의 디폴트 패스워드 및 권한 정책 변경
점검 및 조치 방법(oracle, mssql, mysql 등)
■ Oracle
Step 1) 기본 계정을 사용하는 경우 계정의 기본 패스워드 변경 후 사용
SQL> alter user username identified by new_passwd;
※ 그 이외에 객체 권한 부여, 기본 role 확인 및 변경 수행
※ DBSNMP 파일의 접근권한 설정이 필요함
chmod 700 snmp_rw.ora (결과값 –rwx------snmp_rw.ora)
| Oracle 설치 시 생성되는 디폴트 계정 정보 | |||
| User | Password | User | Password |
| scott | tiger or tigger | system | manager |
| dbsnmp | dbsnmp | sys | changeon_install |
| tracesvr | trace | outln | outln |
| ordplugins | ordplugins | ordsys | ordsys |
| ctxsys | ctxsys | mdsys | mdsys |
| adams | wood | blake | papr |
| clark | clth | jones | steel |
| lbacsys | lbacsys | ||
■ MSSQL
Step 1) sa 계정 패스워드 변경
Alter login sa with password=’new password';
■ MySQL
Step 1) root 계정 패스워드 변경
mysql> use mysql;
mysql> update user set password=password(‘new password’) where user=’root’;
mysql> flush privileges; 또는,
mysql> set password for root=password(‘new password’);
■ Altibase
조치방법 1.
Step 1) 다음 명령어를 통해 패스워드 정책 설정 여부 확인
select * from system_.sys_users_;
Step 2) alter user 명령어로 패스워드 변경
알티베이스 서버에 sys 유저로 접속 후 alter user 명령어로 패스워드를 변경
ALTER USER sys IDENTIFIED BY "New_passwd";
조치방법 2.
Step 1) altipasswd 명령어로 패스워드 변경
알티베이스 서버 온라인 상태에서 수행
$ altipasswd
Previous Password : old_password
New Password : new_password
Retype New Password : new_password
■ Tibero
Step 1) sys 계정 패스워드 변경
ALTER USER sys IDENTIFIED BY "New_passwd";
■ PostgreSQL
Step 1) postgres 계정으로 접속 계정 변경 및 접속
$ sudo –u postgres psql
# alter user postgres with password ‘new password;’
# \q
※ 패스워드가 취약하게 설정된 경우 패스워드를 아래 기준을 준수하여 변경함
< 패스워드 관리 방법 >
1. 영문, 숫자, 특수문자를 조합하여 계정명과 상이한 8자 이상의 패스워드 설정
※ 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는, 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
가. 영문 대문자(26개)
나. 영문 소문자(26개)
다. 숫자(10개)
라. 특수문자(32개)
2. 시스템마다 상이한 패스워드 사용
3. 패스워드를 기록해 놓을 경우 변형하여 기록
4. 가급적 자주 패스워드를 변경할 것
■ 조치 시 영향 : 불필요한 계정 사용 불가