[DBMS]MariaDB 사용자 권한 관리: 로컬 호스트와 외부 접속의 보안 강화

728x90

SMALL

데이터베이스 시스템에서는 사용자의 권한 관리가 중요한 요소로 강조됩니다. 특히 MariaDB에서는 사용자의 호스트 정보를 활용하여 로컬 호스트와 외부 접속을 구분하여 보안을 강화하는 것이 필요합니다. 이를 통해 데이터베이스 시스템의 안전성을 높일 수 있습니다.

≣ 목차

사용자 권한 개요🔐
권한의 종류🤹‍♂️
로컬 호스트와 외부 접속의 구분👥
사용자 생성😁
권한 부여🤝
핵심 내용👀

사용자 권한 개요🔐

MariaDB에서 사용자는 데이터베이스에 접근하고 작업을 수행하는 데 사용됩니다. 사용자는 사용자 이름과 호스트 정보로 식별됩니다. 권한은 사용자가 수행할 수 있는 작업을 결정하는데 중요한 역할을 합니다.

사용자(User)

사용자는 데이터베이스에 접근하고 작업을 수행하는 개체를 나타냅니다.
각 사용자는 고유한 식별자(사용자 이름)를 가지고 있습니다.
사용자는 로컬 호스트 또는 외부 호스트에서 데이터베이스에 접속할 수 있습니다.

권한(Permission)

권한은 사용자가 데이터베이스에서 수행할 수 있는 작업을 정의합니다.
데이터베이스 시스템은 사용자에 대한 권한을 부여하고 이를 통해 어떤 작업을 수행할 수 있는지 결정합니다.
주요 권한에는 SELECT(조회), INSERT(삽입), UPDATE(수정), DELETE(삭제), CREATE(생성), DROP(제거) 등이 있습니다.
각 권한은 특정 데이터베이스 객체(테이블, 뷰 등)에 대한 작업을 수행할 수 있는 권한을 나타냅니다.

호스트(Host)

호스트는 사용자가 접속하는 클라이언트 컴퓨터를 나타냅니다.
사용자는 특정 호스트에서 데이터베이스에 접속할 수 있습니다.
호스트 정보를 활용하여 로컬 호스트와 외부 접속을 구분하여 보안 정책을 적용할 수 있습니다.

권한의 종류🤹‍♂️

SELECT(조회)

데이터베이스 테이블에서 데이터를 읽어오는 작업을 수행할 수 있는 권한입니다.
SELECT 문을 사용하여 테이블의 데이터를 조회하고 검색할 수 있습니다.

INSERT(삽입)

데이터베이스 테이블에 새로운 데이터를 추가하는 작업을 수행할 수 있는 권한입니다.
INSERT INTO 문을 사용하여 테이블에 새로운 레코드를 추가할 수 있습니다.

UPDATE(수정)

데이터베이스 테이블에서 기존 데이터를 수정하는 작업을 수행할 수 있는 권한입니다.
UPDATE 문을 사용하여 테이블의 기존 레코드를 수정하거나 업데이트할 수 있습니다.

DELETE(삭제)

데이터베이스 객체를 생성하는 작업을 수행할 수 있는 권한입니다.
DELETE FROM 문을 사용하여 테이블에서 특정 레코드를 삭제할 수 있습니다.

CREATE(생성)

데이터베이스 객체를 생성하는 작업을 수행할 수 있는 권한입니다.
CREATE TABLE, CREATE INDEX 등의 문을 사용하여 새로운 테이블, 인덱스 등을 생성할 수 있습니다.

DROP(제거)

데이터베이스 객체를 삭제하는 작업을 수행할 수 있는 권한입니다.
DROP TABLE, DROP INDEX 등의 문을 사용하여 테이블, 인덱스 등을 삭제할 수 있습니다.

ALTER(변경)

데이터베이스 객체의 구조를 변경하는 작업을 수행할 수 있는 권한입니다.
ALTER TABLE, ALTER INDEX 등의 문을 사용하여 테이블 구조를 변경하거나 인덱스를 수정할 수 있습니다.

GRANT(부여)

다른 사용자에게 권한을 부여하는 작업을 수행할 수 있는 권한입니다.
GRANT 문을 사용하여 다른 사용자에게 SELECT, INSERT, UPDATE 등의 권한을 부여할 수 있습니다.

이러한 주요 권한 종류는 데이터베이스 시스템에서 사용자의 접근과 작업을 제어하는 데 중요한 역할을 합니다. 사용자에 따라 필요한 권한을 적절히 부여하여 데이터베이스의 보안을 유지하고 데이터의 무결성을 보장할 수 있습니다.

로컬 호스트와 외부 접속의 구분👥

로컬 호스트와 외부 접속은 데이터베이스 보안에 있어서 핵심적인 요소입니다. 로컬 호스트는 데이터베이스에 직접 접속하는 경우를 의미하며, 외부 접속은 외부 네트워크를 통해 접속하는 경우를 의미합니다. 이 둘을 구분하여 보안 정책을 적용하는 것이 중요합니다. 여기에는 몇 가지 이유가 있습니다.

내부 VS 외부 위협: 로컬 호스트는 데이터베이스 시스템에 직접 접속하는 경우로, 일반적으로 더 신뢰할 수 있는 환경입니다. 반면에 외부 접속은 외부 네트워크를 통해 접속하는 경우로, 보안 위협이 높을 수 있습니다.
접근 제어 강화: 로컬 호스트와 외부 접속을 구분함으로써, 로컬 호스트에서는 보다 엄격한 접근 제어를 적용할 수 있습니다. 이는 내부 사용자에게는 더 많은 권한을 주고 외부 사용자에게는 제한된 권한을 부여할 수 있도록 합니다.
네트워크 보안: 외부접속은 외부 네트워크를 통해 이루어지기 때문에, 네트워크 수준의 보안 정책이 필요합니다. 이를 통해 외부에서의 불법적인 접근을 방지할 수 있습니다.
감시 및 로깅: 로컬 호스트와 외부 접속을 구분하여 보안 정책을 적용하면, 각각의 환경에서 발생하는 활동을 모니터링하고 로깅하는 것이 용이해집니다. 이는 보안 사고 발생 시 신속하게 대응할 수 있도록 도와줍니다.

따라서 데이터베이스 시스템에서는 로컬 호스트와 외부 접속을 구분하여 보안 정책을 적용하는 것이 중요합니다.

사용자 생성😁

데이터베이스 사용자 생성의 주요 목적은 보안과 접근 제어입니다. 데이터베이스 사용자를 분리하여 각 사용자에게 필요한 권한만 부여함으로써 데이터베이스의 안전성을 높이고, 각 사용자가 수행할 수 있는 작업을 제한할 수 있습니다.

로컬에서 접속할 수 있는 사용자 생성

CREATE USER 'username'@'localhost' IDENTIFIED BY 'password';

CREATE USER: 새로운 사용자를 생성하는 명령어입니다. `username`이라는 사용자를 생성하고 `localhost`라는 호스트 (현재 컴퓨터)에서만 접속을 허용하도록 설정했습니다.
@: 사용자 이름과 호스트를 구분하는 구분자입니다. 이 경우 `username`이라는 사용자 이름과 `localhost`라는 호스트를 구분합니다.
DENTIFIED BY: 사용자에게 암호를 설정하는 옵션입니다. 여기서는 'password'라는 암호를 사용하도록 지정했습니다.
비밀번호는 구성요소가 아닌 문자열로 인식합니다.

이렇게 생성된 사용자는 해당 호스트 localhost에서만 접속할 수 있으며, 암호는 password입니다. 이 사용자를 통해 데이터베이스에 접속하고 작업을 수행할 수 있습니다.

외부에서 접근하는 사용자 생성

CREATE USER `username`@`%` IDENTIFIED BY 'password';

CREATE USER: 새로운 사용자를 생성하는 명령어입니다. `username`이라는 사용자를 생성합니다.
@: 사용자 이름과 호스트를 구분하는 구분자입니다. 이 경우 `username`이라는 사용자 이름과 `localhost`라는 호스트를 구분합니다.
%: 와일드카드 문자로, 모든 호스트를 나타냅니다. 따라서 이 사용자는 어떤 호스트에서든 접속할 수 있게 됩니다.
만약 특정 사용자를 특정 호스트에서만 접속하도록 제한하고 싶다면 해당 호스트의 IP 주소나 도메인을 명시하여 사용자를 생성할 수 있습니다. 하지만 % 를 사용하면 모든 호스트에서 접속이 가능하므로 주의가 필요합니다.
DENTIFIED BY: 사용자에게 암호를 설정하는 옵션입니다. 여기서는 'password'라는 암호를 사용하도록 지정했습니다.
비밀번호는 구성요소가 아닌 문자열로 인식합니다.

다음은 사용자를 특정 호스트에서만 접속할 수 있도록 제한하는 예시입니다.

CREATE USER 'study'@'specific_host' IDENTIFIED BY 'test1234';

여기서 specific_host는 특정 호스트의 IP 주소나 도메인을 나타냅니다. 이렇게 하면 해당 사용자는 지정된 호스트에서만 접속할 수 있게 됩니다.

권한 부여🤝

MariaDB에서는 사용자를 생성하고 권한을 부여하는 다양한 기능을 제공합니다. 사용자 생성(CREATE), 권한 부여(GRANT), 권한 회수(REVOKE), 권한 적용(FLUSH) 등의 기능을 통해 데이터베이스의 보안을 강화할 수 있습니다.

권한 부여 기본 문법

GRANT 문은 데이터베이스에서 사용자에게 권한을 부여하는 데 사용됩니다. 이 문법은 다음과 같습니다.

GRANT 권한 ON 데이터베이스.테이블 TO '사용자'@'호스트';

여기서 각 요소는 다음을 의미합니다.

권한: 사용자에게 부여할 권한을 지정합니다. SELECT, INSERT, UPDATE, DELETE 등이 있습니다.
데이터베이스: 권한을 부여할 데이터베이스를 지정합니다.
테이블: 권한을 부여할 특정 테이블을 선택적으로 지정할 수 있습니다. 이 부분을 생략하면 데이터베이스의 모든 테이블에 대한 권한이 부여됩니다.
사용자: 권한을 부여할 사용자를 지정합니다.
호스트: 사용자가 접속할 수 있는 호스트를 지정합니다. '%'는 모든 호스트를 나타내는 와일드카드입니다.

모든 권한 부여

GRANT ALL ON *.* TO `username`@`localhost`;

username 사용자에 대해 모든 데이터베이스*.* 의 모든 테이블에 대한 모든 권한 ALL을 부여합니다. 즉, 이 사용자는 localhost에서 모든 데이터베이스와 테이블에 대해 모든 작업을 수행할 수 있게 됩니다.

특정 권한 부여

GRANT SELECT, INSERT ON database_name.table_name TO 'username'@'localhost';

database_name 데이터베이스의 table_name 테이블에 대한 SELECT 및 INSERT 권한만을 가집니다.

권한 적용

FLUSH PRIVILEGES;

권한 변경 사항을 즉시 적용할 수 있도록 FLUSH PRIVILEGES 문을 사용합니다. 이 명령을 실행하면 변경된 권한이 즉시 적용됩니다.

권한 회수

REVOKE ALTER, DROP ON *.* FROM 'username'@'localhost';

불필요한 권한을 회수할 수 있습니다. REVOKE 문을 사용하여 특정 사용자의 권한을 제거합니다.

핵심 내용👀