MongoDB安全

Question

除了"通用"服务器的安全最佳实践之外,我正在寻找MongoDB服务器的"安全最佳实践".你能指点我有用的资源吗？

Answer 1

基本上需要做的是

启用身份验证

打开mongoDB shell

use admin
db.addUser("admin","adminpassword")

(重要提示:在启用身份验证之前,您将需要管理员用户,否则您将无法访问数据).

现在编辑mongodb配置文件 sudo vi /etc/mongodb.conf

并取消注释auth=true.保存并重启mongo dbsudo service mongodb restart

将mongoDB绑定到可信网络或计算机

编辑mongoDB配置文件并添加bind_ip = 127.0.0.1或以逗号分隔的IP列表,这些IP将能够连接到mongoDB.然后重启.

欲了解更多信息,你可以找到一个指南做这些在我的网站在这里

Answer 2

安全问题始终是特定于应用程序的.实际上不可能以一般方式完全回答这个问题.

通常,依赖于NOSQL数据库的应用程序将容易受到OWASP A4 - 不安全的直接对象参考.应该注意的是,该_ID值不是加密nonce,该值严重依赖于时间戳,并且攻击者很容易猜测这些值.

另一个常见问题是CWE-602 - 客户端执行服务器端安全性.永远不会信任客户端,如果他们直接与数据库交互,那么他们拥有数据库, 期间.

Answer 3

有两种方法:

1. 在受信任的环境中安装没有 --auth选项的mongodb .通常是应用程序,数据库安装的本地网络.此网络外部的服务器无法访问mongodb和其他资源.
2. 在mongodb端口未被防火墙阻止的环境中安装mongodb with --auth option,每个人都可以访问它.

有关安全性的更多信息,你可以找到这里.