문서유형ㅣ기술 정보
분야ㅣ보안
적용제품버전ㅣTibero6, Tibero7
문서번호ㅣTSETI014
개요
| 분류 | 점검 항목 | 중요도 | 코드 |
|---|---|---|---|
| 계정 관리 | 기본 계정의 패스워드, 권한 등을 변경하여 사용 | 상 | D-01 |
| 데이터베이스의 불필요 계정을 제거하거나, 잠금설정 후 사용 | 상 | D-02 | |
| 패스워드의 사용기간 및 복잡도를 기관 정책에 맞도록 설정 | 상 | D-03 | |
| 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용 | 상 | D-04 | |
| 패스워드 재사용에 대한 제약 설정 | 중 | D-12 | |
| DB 사용자 계정을 개별적으로 부여하여 사용 | 중 | D-13 |
본 문서에서는 "계정관리-데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용(D-04)" 항목에 대한 보안취약점 조치 방안에 대해 기술하였습니다.
점검 내용 및 목적
- 관리자 권한이 필요한 계정 및 그룹에만 관리자 권한을 부여했는지 점검합니다.
- 관리자 권한이 필요한 계정과 그룹에만 관리자 권한을 부여했는지 점검하여 관리자 권한의 남용을 방지하여 계정 유출로 인한 비인가자의 DB 접근 가능성을 최소화하기 위함입니다.
점검 판단 기준
| 기준 | 내용 |
|---|---|
| 양호 | 관리자 권한이 필요한 계정 및 그룹에만 관리자 권한이 부여된 경우 |
| 취약 | 관리자 권한이 필요 없는 계정 및 그룹에 권한이 부여된 경우 |
조치 전 주의사항
기본 계정 리스트 확인
Tibero 설치 시 생성되는 기본 계정은 다음과 같습니다. 기본 계정에서 관리자 권한이 필수로 필요한 경우가 있으니 사전에 확인이 필요합니다.
| 계정명 | 비밀번호 | 비고 |
| SYS | tibero | 계정 삭제 불가능 관리자 권한 필요 |
| SYSCAT | syscat | 계정 삭제 불가능 |
| SYSGIS | sysgis | 계정 삭제 불가능 |
| OUTLN | outln | 계정 삭제 불가능 |
| TIBERO | tmax | 계정 삭제 가능 |
| TIBERO1 | tmax | 계정 삭제 가능 T7 버전 이상부터 존재하지 않음 |
| SYSBACKUP | tibero | 계정 삭제 불가능 T6FS07 일부 버전(301647 패치 존재) 및 T7 버전 이상부터 존재 |
| LBACSYS | lbacsys | 계정 삭제 불가능 T7 버전 이상부터 존재 |
방법
설정
- 작업 전 관리자 권한이 부여된 유저 확인
set lines 400 col grantee for a20 col granted_role for a20 select GRANTEE, GRANTED_ROLE from dba_role_privs where granted_role='DBA'; GRANTEE GRANTED_ROLE -------------------- -------------------- SYS DBA TIBERO1 DBA 2 row selected.
- 관리자 권한 회수
REVOKE DBA FROM [USERANME]; ex) revoke dba from tibero1;
- 작업 후 관리자 권한이 부여된 유저 확인
select GRANTEE, GRANTED_ROLE from dba_role_privs where granted_role='DBA'; GRANTEE GRANTED_ROLE -------------------- -------------------- SYS DBA 1 row selected.
원복
- 관리자 권한 부여
GRANT DBA TO [USERNAME]; ex) grant dba to tibero1;