■ DBMS 점검 가이드 1-1 기본 계정의 패스워드, 권한 등을 변경하여 사용

1.점검내용 : DBMS 기본 계정의 디폴트 패스워드 및 권한 정책 변경사용 점검

2. 점검목적: DBMS 기본 계정의 디폴트 패스워드 및 권한 정책 변경 사용 유무 점검, 비인가자의 디폴트 패스워드 대입 공격차단하고 있는지 확인 하기 위함

3. 보안위협 : DBMS 기본 계정 디폴트 패스워드 및 권한 정책을 변경하지 않을 경우 비인가자가 인터넷을 통해 DBMS 디폴트 패스워드 획득가능

 

★ 주요정보통신기반시설에서 잘못된 점

1. 실제 가이드를 살펴보면 Mysql에서 root 계정 패스워드 변경는 다음과 같이 하라고 나타남

그러나 이렇게 실제로 실행을 하면 에러가 발생됨 그 이유는 주요정보통신기반시설 버전이 너무 오래전이라 최신 Mysql 버전과 맞지 않는다. 지금의 Mysql 최신버전은 8.0.18로 나타남(20.01.13 기준)

또한, 버전의 업데이트로 인해 가이드에 나타난 password 문법역시 변경이 되었는데 실제 password 필드를 조회하기 위해 조회를 하면 다음과 같이 나옴

 

하단부분을 보면 authentication_string로 나타난부분이 기존의 password부분이기 때문에 문법역시 바뀌어져야 한다.

따라서 올바른 정답은 update user set authentication_string=authentication_string('1111') where user='root';로해야한다고 하는데 실제로는 또 오류가 발생한다.

아래 그림은 실제 주요정보통신기반시설에 나타난대로 하였을때 오류와 방금 설명한 바와 같이 변경이 되었을 때를 비교하는 것이다.

문법적 오류는 없을 것 같지만 문제가 지속적으로 발생함 그 이유는 Mysql 가이드에 나타나있다. 이제는 Update가 아니라 alter로 변경이 되었다고 함

 

※ https://to-dy.tistory.com/58

MySQL 8.0 비밀번호 변경하기! (MySQL 5.7버전 이상)

다음과 같이 쿼리문이 정상적으로 작동을 함

기존의 암호화가 적용된 authentication_string부분이 암호화 되어 저장이 된것을 확인