jjy0918
commented
2 years ago 3.2 사용자 계정 관리
3.2.1 시스템 계정과 일반 계정
- MySQL 8.0 부터는
SYSTEM_USER권한이 있을 경우 시스템 계정, 없을 경우 일반 계정으로 구분된다. 시스템 계정은 MySQL 서버 백그라운드로 실행되는 스레드와 무관하며, 데이터베이스 서버 관리자를 위한 계정이다.- 시스템 계정은 시스템 계정과 일반 계정을 관리할 수 있다.
- 계정 관리, 다른 세션 또는 그 세션에서 실행 중인 쿼리 강제 종료, 스토어드 프로그램 생성 시 DEFINER를 타 사용자로 설정 등이 가능하다.
일반 계정은 응용 프로그램이나 개발자를 위한 계정이다.- 일반 계정은 시스템 계정을 관리할 수 없다.
- MySQL 계정에는
'root'@'localhost'외 3가지 계정이 기본적으로 존재하며, 이 계정들은 특수한 목적을 위해 존재한다.'mysql.sys'@'localhost': MySQL 8.0부터 기본적으로 내장된 sys 스키마의 객체들의 DEFINER로 사용되는 계정'mysql.session'@'localhost': MySQL 플러그인이 서버로 접근할 때 사용되는 계정'mysql.infoschema'@'localhost': information_schema에 정의된 뷰의 DEFINER로 사용되는 계정- 이 3 계정은 모두 기본적으로 잠겨 있다.
3.2.2 계정 생성
- MySQL 5.7 버전까지는
GRANT명령으로 권한의 부여와 동시에 계정 생성이 가능했다. - MySQL 8.0 부터는 계정 생성은
CREATE USER, 권한 부여는GRANT명령으로 구분된다. - 계정 생성 시 다양한 옵션 설정이 가능하다.
- 계정의 인증 방식과 비밀번호
- 비밀번호 관련 옵션(유효기간, 이력 개수, 재사용 불가 기간)
- 기본 역할
- SSL 옵션
- 계정 잠금 여부
# 가장 많이 사용되는 옵션을 가진 CREATE USER 명령어
CREATE USER 'user'@'%'
INDENTIFIED WITH 'mysql_native_password' BY 'password'
REQUIRE NONE
PASSWORD EXPIRE INTERVAL 30 DAY
ACCOUNT UNLOCK
PASSWORD HISTORY DEFAULT
PASSWORD REUSE INTERVAL DEFAULT
PASSWORD REQUIRE CURRENT DEFAUT;3.2.2.1 IDENTIFIED WITH
- 사용자의 인증 방식과 비밀번호를 설정한다.
- IDENTIFIED WITH 뒤에는 인증 방식(인증 플러그인 이름)을 명시한다.
- MySQL 기본 인증 방식을 사용하려면 IDENTIFIED BY 'password` 형식을 사용하면 된다.
- MySQL 인증 방식 플러그인 4가지
- Native Pluggable Authentication(MySQL 5.7 이하 기본 값)
- Caching SHA-2 Pluggable Authentication(MySQL 8.0 이상 기본 값)
- SSL/TLS 또는 RSA 키페어가 필요하기 때문에 기존(5.7 이하)과는 다른 방식으로 접근 필요하다.
- PAM Pluggable Authentication
- LDAP Pluggable Authentication
- MySQL 8.0에서 Native Authentication 을 사용하려면 my.cnf 설정 파일에 추가하면 된다.
- SET GLOBAL default_authentication_plugin="mysql_native_password"
3.2.2.2 REQUIRE
- MySQL 서버 접속 시 SSL/TLS 사용 여부를 설정한다.
- 별도로 설정하지 않으면 비암호화 채널로 연결하게 된다.
- Caching SHA-2 Authentication을 사용하게 되면, 이 옵션을 설정하지 않아도 암호화된 채널만으로 접속하게 된다.
3.2.2.3 PASSWORD EXPIRE
- 비밀번호 유효 기간 설정 옵션.
- 별도로 명시하지 않을 경우
default_password_lifetime에 명시된 값으로 설정한다. PASSWORD EXPIRE: 계정 생성과 동시에 비밀번호 만료 처리PASSWORD EXPIRE NEVER: 계정 비밀번호의 만료 기간 없음PASSWORD EXPIRE DEFAULT: default_password_lifetime으로 유효 기간 설정PASSWORD EXPIRE INTERVAL n DAY: 유효 기간을 오늘부터 n일자로 설정
3.2.2.4 PASSWORD HISTORY
- 한 번 사용했던 비밀번호를 재사용하지 못하게 하는 옵션
PASSWORD HISTORY DEFAULT:password_history에 저장된 개수 만큼 비밀번호의 이력을 저장.PASSWORD HISTORY n: 비밀번호의 이력을 최근 n개 까지만 저장.- 저장되어 있는 비밀번호는 재사용할 수 없다.
- password_history 테이블을 조회하면, 재사용 불가능한 비밀번호를 조회할 수 있다.
- SELECT * FROM mysql.password_history;
3.2.2.5 PASSWORD REUSE INTERVAL
- 한 번 사용했던 비밀번호의 재사용 금지 기간 설정
- 별도로 명시하지 않을 경우
password_reuse_interval에 저장된 기간으로 설정된다. PASSWORD REUSE INTERVAL DEFAULT: password_reuse_interval에 저장된 기간으로 설정.PASSWORD REUSE INTERVAL n DAY: n일자 이후에 비밀번호를 재사용할 수 있게 설정
3.2.2.6 PASSWORD REQUIRE
- 비밀번호가 만료되어 새로운 비밀번호로 변경할 때 현재 비밀번호를 필요 할지 말지 결정하는 옵션
3.2.2.7 ACCOUNT LOCK / UNLOCK
- 계정 생성 시 또는 ALTER USER 명령으로 계정 정보를 변경할 때 계정을 사용하짐 못하게 잠글지 결정하는 옵션
3.1 사용자 식별
'svc_id'@'127.0.0.1'=> svc_id는 127.0.0.1 에서만 접속이 가능하다.%문자를 호스트명에 입력하면 된다.'svc_id'@'%'=> 모든 주소에서 접속 가능'svc_id'@'127.0.0.1','svc_id'@'192.168.0.10'=> 아이디는 같지만, 인증은 다르다.%와 특정 IP 가 명시되어 있디면, 특정 IP로 접속할 경우 특정 IP가 입력된 인증으로 진행된다.