首页 > CKJSHOP资讯 > 公司动态

Mongodb数据库严重隐患预警

CKJSHOP 2019-03-14 09:01:00


近日,广东省网络与信息安全通报中心通报,MongoDB数据库存在默认弱口令的严重风险隐患,极易造成数据泄露问题。

 

一、基本情况

MongoDB数据库默认存在一个admin数据库,且密码为空。同时,MongoDB数据库启动没有认证admin数据库中admin、system、users用户都未添加时,不进行任何认证就可以做任何操作,直到在admin、system、users中添加了一个用户后,MongoDB数据库的认证和授权才生效。

通俗讲:新装mongodb默认是没有用户密码的,不需要密码就可以直接登录管理数据的。只有添加账户密码后,认证才生效。


二、安全操作

 

1、启动基于角色的登录认证功能,为admin数据库添加用户密码,并在数据库中添加新用户(需设置密码)启用有效认证功能

注意:广大CKJSHOP客户请放心,我们的运维工程师在给您安装CKJSHOP时都给您配置了admin库的用户密码。


2、修改默认的MongoDB数据库端口号(默认端口号为:TCP 27017)为其他端口修改完成后重启mongodb服务生效


3、使用防火墙对访问源IP进行控制,如果仅对内网服务器提供服务,建议禁止将MongoDB数据库服务发布到互联网上修改完成后重启mongodb服务生效


4、使用bindIp选项修改完成后重启mongodb服务生效,默认仅允许服务器本地访问


以宝塔面板客户环境修改为例:


登录宝塔面板——》”软件管理“——》”运行环境“——》”MongoDB设置“——》”配置项“

Mongodb数据库严重隐患预警(图1)

Mongodb数据库严重隐患预警(图2)

1)bindIp为启动mongodb服务监听的地址。

        默认是127.0.0.1,代表仅服务器本身可以连接mongodb数据库;

        如果修改成0.0.0.0,代表所有IP都可以连接这台mongodb服务器。

2)Port为mongodb服务的端口,默认为27017。


CKJSHOP为例:

假如您修改了mongodb的端口号,需要修改CKJSHOP以下内容:

(1)修改站点配置文件中连接mongodb的信息。CKJSHOP的站点配置文件为站点目录下common/config/main-local.php


Mongodb数据库严重隐患预警(图3)

(2)修改CKJSHOP_client的配置文件CKJSHOP_client.ini文件中连接mongodb的服务并重启CKJSHOP_client服务。

Mongodb数据库严重隐患预警(图4)

登录服务器执行pkill -9 CKJSHOP 或者 直接重启服务器

5、开启日志审计功能修改完成后重启mongodb服务生效。(mongodb默认已经开启)


—— 相关文章 ——
立即体验

售前咨询

微信扫码立即咨询

咨询热线

177-5275-8585

(工作日90:0-18:00)

公众号

关注次空间公众号

您的专属业务顾问

微信扫码咨询 领取开店大礼包

咨询热线: 177-5275-8585