Monble_정보보안

1) 주요정보통신기반시설(2017년 기준) step1) 패스워드 설정 규칙 적용 패스워드 설정 규칙에 맞추어 패스워드를 설정할 수 있도록 시스템 차원에서 기능 제공 실제 가이드에 나타난 것처럼 패스워드를 설정하라고 하기 위해서는 구체적인 절차가 있어야 하는데 가이드상에서는 존재하지 않음 실제로 mysql password정책을 보기 위해서 조회를 하면 다음과 같이 결과가 나옴. 즉 정책설정 파일 자체가 없다. 이를 위해서는 install로 하여 정책을 서버로부터 다운 받아야 함 자세한 사항은 다음 사이트를 참조 https://lefred.be/content/mysql-8-0-and-user-password-management/ MySQL 8.0 and user password management I alr..

주요정보통신기반시설에서 계정에서 불필요한 항목을 제거하는 부분이 존재 실제 기존 주요정보통신기반시설 가이드에서는 Delete from user where user='삭제할 계정';으로 해야 한다고 함 만약 내가 담당자라면 최고 관리자로 로그인 후, 인사관리에서 회원을 조회 후, 기존의 sql 문을 통해 필요없는 회원정리 기존 Delete 문법을 통해 삭제하는 방법도 있지만 Drop user '삭제할 계정'@'삭제할 계정 ip';이나 Delete from user where user='삭제할 계정';으로 해도 무방

1.점검내용 : DBMS 기본 계정의 디폴트 패스워드 및 권한 정책 변경사용 점검 2. 점검목적: DBMS 기본 계정의 디폴트 패스워드 및 권한 정책 변경 사용 유무 점검, 비인가자의 디폴트 패스워드 대입 공격차단하고 있는지 확인 하기 위함 3. 보안위협 : DBMS 기본 계정 디폴트 패스워드 및 권한 정책을 변경하지 않을 경우 비인가자가 인터넷을 통해 DBMS 디폴트 패스워드 획득가능 ★ 주요정보통신기반시설에서 잘못된 점 1. 실제 가이드를 살펴보면 Mysql에서 root 계정 패스워드 변경는 다음과 같이 하라고 나타남 그러나 이렇게 실제로 실행을 하면 에러가 발생됨 그 이유는 주요정보통신기반시설 버전이 너무 오래전이라 최신 Mysql 버전과 맞지 않는다. 지금의 Mysql 최신버전은 8.0.18로 나..