网络安全:为mongodb添加auth认证

原创 18672293959 随笔 教程 40阅读 28 天前 举报

1.近日,腾讯云提示云主机搭建的 MongoDB 服务存在空密码或弱口令等安全风险,需要进行加固加密处理.
2.mongodb是一个介于关系数据库与非关系数据库之间的产品,旨在为web应用提供可拓展的高性能数据存储解决方案,其将数据存储为一个文档(document),数据结构由key->value的格式组成,类似于json对象.
3.在默认情况下,mongodb是监听在0.0.0.0上的,任何客户端都可以直接连接到27017端口;同时,默认情况下,mongodb也没有管理员账号,需要在admin数据库中通过db.createUser()添加.mongodb自身有非常详细的安全配置准则,只不过将这个过程交给了用户去配置.
4.mongodb的用户分两种,一个是admin用户,一个是特定数据库用户.admin用户拥有最高权限,而特定数据库用户只能够访问特定的数据库.
5.新建用户的时候,admin用户只能在admin数据库下面建立,其他数据库用户在对应的数据库下建立
6.每个用户所拥有的role(权限)是不一致的,具体权限可以在db.createUser()时可以指定.一般常见的权限包括:read,write,readWrite,root,userAdminAnuDatabase等等
7.上述铺垫了那么多,现在列一下操作步骤:

mongodb勒索病毒仍然存在,其实也咩有啥好说的,直接在公网上让服务器“裸奔”也是很多人不经意间常犯的错误.在网站shadon(https://www.shodan.io/)上,输入“mongodb”,随便可以找到几台可以直接登录的mongodb服务器,并可采取任何curd操作.现在截图如下

在这一页下面随意找了一个ip,并在本地执行mongodb命令行

这就轻易列出了该加拿大(Canada)朋友的mongodb上所有数据库,and,多了一个Warning数据库,这个就是被“勒索病毒”添加进去的数据库,进去看看先:

基于隐私,其他的数据库内容就不一一展示了,一般也没有内容

解语:在互联网圈子混,安全意识必不可少,以防给一些不法分子可乘之机.勒索病毒需要支付的是bitcoin比特币,现在还没玩过.

评论 ( 0 )
最新评论
暂无评论

赶紧努力消灭 0 回复