6.1.2.3 암호 및 로깅
암호는 CREATE USER , GRANT , SET PASSWORD 등의 SQL 문과 PASSWORD() 함수를 호출 문에 일반 텍스트로 기록 할 수 있습니다. 이 문이 MySQL 서버에 의해 기록 된대로 기록 된 경우, 그 암호는 로그에 액세스 할 수있는 모든 사용자가 사용할 수있게됩니다.
MySQL 5.6.3에서 문 로깅이 변경되어 다음 명령문은 암호가 일반 텍스트로 표시되지 않습니다했습니다.
CREATE USER ... IDENTIFIED BY ... GRANT ... IDENTIFIED BY ... SET PASSWORD ... SLAVE START ... PASSWORD = ... (as of 5.6.4) CREATE SERVER ... OPTIONS (... PASSWORD ...) (as of 5.6.9) ALTER SERVER ... OPTIONS (... PASSWORD ...) (as of 5.6.9)
이러한 진술의 암호는 일반 쿼리 로그, 슬로우 쿼리 로그 및 바이너리 로그 대해 문 텍스트 문자 적으로 표시되지 않도록 작성됩니다. 다른 문들은 다시이 적용되지 않습니다.
일반 쿼리 로그의 경우 암호 다시는 --log-raw 옵션을 사용하여 서버를 시작하여 억제 할 수 있습니다. 이 옵션은 서버에 의해 주어진 문장의 정확한 텍스트를 표시 할 때 진단 목적으로 유용 할 수 있지만 보안상의 이유로 프로덕션 용도로는 사용되지 않습니다.
감사 로그 플러그인에 의해 생성 된 감사 로그 파일의 내용은 암호화되지 않습니다. 보안상의 이유로이 파일은 MySQL 서버 및 로그를 표시하는 정당한 이유를 가진 사용자 만 액세스 할 수있는 디렉토리에 쓰도록하십시오. 섹션 6.3.12.2 "감사 로그 플러그인의 보안 고려 사항" 을 참조하십시오.
로그 파일이 부당하게 공개되지 않도록 보호하려면 서버 및 데이터베이스 관리자에게만 액세스를 제한 한 디렉토리에 로그 파일을 배치하도록하십시오. mysql 데이터베이스의 테이블에 기록하는 경우 이러한 테이블에 대한 액세스 권한을 관리자가 아닌 계정에 결코 부여해서는 안됩니다.
복제 슬레이브 복제 마스터 암호를 마스터 정보 저장소에 저장이 저장소는 파일 또는 테이블 중 하나입니다 ( 섹션 17.2.2 "복제 릴레이 및 상태 로그" 를 참조하십시오). 이 저장소는 데이터베이스 관리자를 통해서만 접근 가능하도록합니다. MySQL 5.6.4의 시점에서는 암호 파일에 저장하는 대안은 START SLAVE 문을 사용하여 마스터에 연결하기위한 자격 증명을 지정하는 방법입니다.
비밀번호를 저장하는 테이블 또는 로그 파일을 포함하는 데이터베이스 백업은 제한 액세스 모드를 사용하여 보호하도록하십시오.