パスワード関連機能 – MariaDB Enterprise Server

本記事は MariaDB Corporation より寄稿された記事となります

はじめに

2019年7月にリリースされた MariaDB Enterprise Server ではセキュリティの向上のため,Community Server ではデフォルト設定で無効となっている,Simple Password Check Plugin がデフォルトで有効となっています。
また,MariaDB Server 10.4.3 以降パスワード期限が設定できるようになっています。
今回はパスワード関連機能に関して解説したいと思います。

Simple Password Check プラグイン

MariaDB Enterprise Server 10.4 では,MariaDB Community Server とは異なりデフォルトで Simple Password Check Plugin が有効になっております。

MariaDB Enterprise Server 10.4 のデフォルト設定では Simple Password Check Plugin 関連の設定は以下のようになっており,

以下のパスワードポリシーとなります。上から順に以下のような要件が必要とされます。

  • 少なくとも1つ数字を含む
  • 少なくとも1文字大文字小文字を混ぜる
  • パスワード長は少なくとも8文字
  • 少なくとも1文字記号を混ぜる

実際に新規ユーザを作成し,どのような挙動を示すか確認してみます。

ここで着目したいのは,MariaDB Server からはパスワードポリシーがどのように設定されているかの情報は一切与えられず,攻撃者は再攻撃の手がかりを得ることができないようになっています。
ただし,現在の水準では 8 文字のパスワード長は十分でないと考えられますので,16-20文字程度の長さのパスワード(パスフレーズ)を設定するのがよいと思われます。

パスワード期限

MaraiDB Server 10.4.3 以降,パスワードの期限が設定できるようになっています。
下記の例では,monty@localhost ユーザを 120 日のパスワード期限を設定した上で作成しています。

パスワード期限を確認するには SHOW CREATE USER を用いることができます。

また,ALTER USER ... PASSWORD EXPIRE NEVER;でパスワード期限を無効とすることが可能です。

まとめ

今回は MariaDB Enterprise Server で有効となっているパスワードチェックプラグインと,10.4 の新機能,パスワード期限に関して解説させていただきました。

 

スマートスタイルTECHブログについて

スマートスタイルTECHブログでは、日頃オープンソースデータベースのサポート業務に従事している有資格者で構成された技術サポートチームがMariaDBに関する技術情報を発信しています。データベースのお困りごとはお気軽にご相談下さい。

よかったらシェアしてね!
  • URLをコピーしました!
目次