Mongodb数据库严重隐患预警
CKJSHOP 2019-03-14 09:01:00
近日,广东省网络与信息安全通报中心通报,MongoDB数据库存在默认弱口令的严重风险隐患,极易造成数据泄露问题。
一、基本情况
MongoDB数据库默认存在一个admin数据库,且密码为空。同时,MongoDB数据库启动没有认证,admin数据库中admin、system、users用户都未添加时,不进行任何认证就可以做任何操作,直到在admin、system、users中添加了一个用户后,MongoDB数据库的认证和授权才生效。
通俗讲:新装mongodb默认是没有用户密码的,不需要密码就可以直接登录管理数据的。只有添加账户密码后,认证才生效。
二、安全操作
1、启动基于角色的登录认证功能,为admin数据库添加用户密码,并在数据库中添加新用户(需设置密码)启用有效认证功能;
注意:广大CKJSHOP客户请放心,我们的运维工程师在给您安装CKJSHOP时都给您配置了admin库的用户密码。
2、修改默认的MongoDB数据库端口号(默认端口号为:TCP 27017)为其他端口,修改完成后重启mongodb服务生效;
3、使用防火墙对访问源IP进行控制,如果仅对内网服务器提供服务,建议禁止将MongoDB数据库服务发布到互联网上,修改完成后重启mongodb服务生效;
4、使用bindIp选项,修改完成后重启mongodb服务生效,默认仅允许服务器本地访问;
以宝塔面板客户环境修改为例:
登录宝塔面板——》”软件管理“——》”运行环境“——》”MongoDB设置“——》”配置项“
(1)bindIp为启动mongodb服务监听的地址。
默认是127.0.0.1,代表仅服务器本身可以连接mongodb数据库;
如果修改成0.0.0.0,代表所有IP都可以连接这台mongodb服务器。
(2)Port为mongodb服务的端口,默认为27017。
以CKJSHOP为例:
假如您修改了mongodb的端口号,需要修改CKJSHOP以下内容:
(1)修改站点配置文件中连接mongodb的信息。CKJSHOP的站点配置文件为站点目录下common/config/main-local.php
(2)修改CKJSHOP_client的配置文件CKJSHOP_client.ini文件中连接mongodb的服务并重启CKJSHOP_client服务。
登录服务器执行pkill -9 CKJSHOP 或者 直接重启服务器
5、开启日志审计功能,修改完成后重启mongodb服务生效。(mongodb默认已经开启)
售前咨询
微信扫码立即咨询
咨询热线
177-5275-8585
(工作日90:0-18:00)
公众号
关注次空间公众号
您的专属业务顾问
微信扫码咨询 领取开店大礼包