TIL

3.2 사용자 계정 관리

3.2.1 시스템 계정과 일반 계정

MySQL 8.0부터 계정은 SYSTEM_USER 권한 유무로 시스템 계정과 일반 계정으로 구분된다.

시스템 계정

• MySQL의 백그라운드 스레드와는 무관하며 일반 계정과 마찬가지로 사용자를 위한 계정이다.
• 데이터베이스 관리자(DBA)를 위한 계정이다.
• 데이터베이스 서버 관련 중요 작업을 수행
  • 계정 관리 (시스템 계정과 일반 계정의 생성, 삭제 및 변경 그리고 권한 설정)
  • 다른 세션(Connection) 또는 그 세션에서 실행 중인 쿼리 강제 종료
  • 스토어드 프로그램 생성 시 DEFINER를 타 사용자로 설정

일반 계정

• 응용 프로그램이나 개발자를 위한 계정이다.
• 시스템 계정을 관리할 수 없다.

MySQL 내장 계정

다음과 같이 내장된 계정들이 있는데 삭제 되지 않도록 주의하자. 하지만 처음부터 잠겨 있는 상태라 보안을 걱정하지는 않아도 된다.

• 'mysql.sys'g'localhost' : MySQL8.0부터 기본으로 내장된 sys 스키마의 객체(뷰나 함수, 그리고 프로시저들의 DEFINER로 사용되는 계정
• 'mysql.session'@'localhost': MySQL 플러그인이 서버로 접근할 때 사용되는 계정
• ‘mysal.infoschema’@'localhost' : information_schema에 정의된 뷰의 DEFINER로 사용되는 계정

3.2.2 계정 생성

MySQL 8.0 기준으로 계정 생성은 CREATE USER 명령으로, 권한 부여는 GRANT 명령으로 구분해서 실행한다.

다음의 옵션들이 있다.

• 계정의 인증 방식과 비밀번호
• 비밀번호 관련 옵션(유효 기간, 이력 개수, 재사용 불가 기간)
• 기본 역할(Role)
• SSL 옵션
• 계정 잠금 여부

CREATE USER 'user'@'%'
	IDENTIFIED WITH 'mysql_native_password' BY 'password'
	REQUIRE NONE
	PASSWORD EXPIRE INTERVAL 30 DAY
	ACCOUNT UNLOCK
	PASSWORD HISTORY DEFAULT
	PASSWORD REUSE INTERVAL DEFAULT
	PASSWORD REQUIRE CURRENT DEFAULT;

IDENTIFIED WITH

• 사용자 인증 방식과 비밀번호를 설정한다.
  • IDENTIFIED WITH 뒤에는 인증 방식을 명시해야 한다.
  • 서버의 기본 인증 방식을 사용하려면 IDENTIFIED BY ‘password’ 형식으로 명시하면 된다.
• 다양한 인증 방식을 플러그인 형태로 제공한다.
  • Native Pluggable Authentication
    • 5.7 버전까지의의 기본 인증 방식
  • Caching SHA-2 Pluggable Authentication
  • Caching SHA-2 Authentication
    • 8.0 버전의 기본 인증 방식
    • SSL/TLS 또는 RSA 키페어를 필요로 한다.
    • 클라이언트에 접속할 때 SSL 옵션을 활성화해야 한다.
  • PAM Pluggable Authentication
  • LDAP Pluggable Authentication

REQUIRE

• 암호화된 SSL/TLS 채널을 사용할지 여부를 설정
• 별도로 설정하지 않으면 비암호화 채널로 연결한다.
  • 하지만 인증 방식을 Caching SHA-2 Authentication으로 사용하면 암호화된 채널만으로 MySQL 서버에 접속할 수 있게 된다.

PASSWORD EXPIRE

• 비밀번호 유효 기간을 설정하는 옵션
• 별도로 명시하지 않으면 default_password_lifetime 시스템 변수에 저장된 기간으로 설정된다.
• 응용 프로그램 접속용 계정에 유효 기간을 설정하는 것은 위험할 수 있다.
• 설정 가능한 옵션
  • PASSWORD EXPIRE: 계정 생성과 동시에 만료
  • PASSWORD EXPIRE NEVER: 만료 기간 없음
  • PASSWORD EXPIRE DEFAULT: default_password_lifetime 시스템 변수에 저장된 기간
  • PASSWORD EXPIRE INTERVAL n DAY: n일자에 만료

PASSWORD HISTORY

• 한 번 사용했던 비밀번호를 재사용하지 못하게 설정하는 옵션
• 이전에 사용했던 비밀번호 이력을 mysql DB의 password_hsitory 테이블에 저장하고 관리한다.
• 설정 가능한 옵션
  • PASSWORD HISTORY DEFAULT: password_history 변수에 저장된 개수만큼 이력 저장
  • PASSWORD HISTORY n: n개만큼 이력을 저장한다.
• 이력으로 저장되어 있는 비밀번호는 재사용할 수 없다.

PASWORD REUSE INTERVAL

• 한 번 사용한 비밀번호의 재사용 금지 기간을 설정하는 옵션
• 설정 가능한 옵션
  • PASSWORD REUSE INTERVAL DEFAULT: 별도로 명시하지 않았을 때 적용되는 옵션, reuse_interval 변수에 지정된 기간으로 설정
  • PASSWORD REUSE INTERVAL n DAY: n일자 이후 재사용 가능

PASSWORD REQUIRE

• 비밀번호 만료되어 새 비밀번호로 변경할 때 기존 비밀번호를 필요로 할지 말지를 결정하는 옵션
• 설정 가능한 옵션
  • PASSWORD REQUIRE CURRENT: 현재 비밀번호를 먼저 입력하도록
  • PASSWORD REQUIRE OPTIONAL: 현재 비밀번호를 입력하지 않도록
  • PASSWORD REQUIRE DEFAULT: 별도로 명시하지 않을 때의 옵션으로 password_require_current 변수 값으로 설정된다.

ACCOUNT LOCK/UNLOCK

• 계정을 생성하거나 계정 정보를 변경할 때 계정을 사용하지 못하게 잠글지 여부를 결정
• 설정 가능한 옵션
  • ACCOUNT LOCK: 계정을 사용하지 못하게 잠금
  • ACCOUNT UNLOCK: 잠긴 계정을 다시 사용 가능 상태로 잠금 해제