1
huxiweng OP |
2
wildcat007 2017-02-04 18:13:59 +08:00
你这个是 mongodb 没有设置账户密码吧?····
|
3
songdezu 2017-02-05 03:01:54 +08:00
楼主方法没啥用, 只允许堡垒机 ssh 登陆 db 是最安全的
|
5
huxiweng OP |
6
huxiweng OP @wildcat007
近日安全团队经检测发现部分阿里云用户存在 MongoDB 数据库未授权访问漏洞,漏洞危害严重,可以导致数据库数据泄露或被删除勒索,从而造成严重的生产事故。为保证您的业务和应用的安全,提供以下修复漏洞指导方案。 具体漏洞详情如下: 1.漏洞危害 开启 MongoDB 服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库。 2.漏洞成因 在刚安装完毕的时候 MongoDB 都默认有一个 admin 数据库,此时 admin 数据库是空的,没有记录权限相关的信息!当 admin.system.users 一个用户都没有时,即使 mongod 启动时添加了— auth 参数,如果没有在 admin 数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以— auth 参数启动),直到在 admin.system.users 中添加了一个用户。加固的核心是只有在 admin.system.users 中添加用户之后, mongodb 的认证,授权服务才能生效。 |
7
krisbai 2017-02-06 15:24:35 +08:00
安全意识太薄弱!
|