炙手可热的MongoDB,安全吗?

  • 时间:
  • 浏览:2
  • 来源:uu快3app娱乐_uu快3辅助_官方网址

MongoDB你这俩 与操作系统交互的行为对路径地处问题很好的控制,主次安装者为了省事,直接使用root账号安装,这在你这俩 特定具体情况下会危害到操作系统上文件的安全,建议不须采取你这俩 安装法律法子。

Rest前文已介绍,MongoDB自带的http REST API。默认具体情况下MongoDB会在2100017开启2个http端口提供REST服务,直接通过特定格式的URL获得数据库中的大主次信息或利用admin.$cmd执行你这俩 数据库级命令。

2、数据库防火墙产品时需帮助MongoDB实现网络隐身效果,并抵御你这俩 利用javascrip发起的数据库攻击。

你这俩 MongoDB环境是为了单一项目可能是测试环境搭建,搭建者不须关心MongoDB的安全问题。

MongoDB默认通过最简单部署法律法子,最大限度提高运行传输时延,以在虚拟机(低配机)上运行而定制的,并未充分考虑MongoDB的安全性。

二、你这俩 安全问题

关闭rest参数。该参数若开启,底下的web页面就时需直接对数据库进行更多操作。即使开启了强制身份验证,该WEB管理页面仍不必身份验证即可登录,你这俩 一定要关闭rest并封死2100017端口。

MongoDB支持在服务器端执行JavaScript、mapReduce、eval和$where等。可时需选用不使用什么代码进行操作,请禁用,以外理MongoDB被攻击入侵(底下web会细说)。具体做法是通过- noscripting选项禁用服务器端的脚本功能。

3、数据库审计产品为非企业版MongoDB提供更全面审计。

4、数据库加密产品帮助MongoDB用户享受更多样性的加密法律法子,确保数据密文存储。

MongoDB目标是实现快速简单部署,你这俩 地处你这俩 安全隐患。外理配置安全问题重点在于:

MongoDB官方文档,如针对身份验证,传输加密,网络配置的文档、指南不须规范,容易误导MongoDB管理员。

数据库防火墙不能对不可信IP访问进行封堵;对web端口(2100017)进行主次IP禁用;对27017端口进行隐藏,外理网络端对MongoDB的非法访问。

MongoDB的网络通讯默认采用明文法律法子。在身份验证主次确实采用了这俩 于MySQL的挑战的法律法子进行认证(密码不必以hash形式直接在包中冒出 ),但还是会暴露使用指纹加密的信息,如下图:

1、针对第你这俩 攻击,时需利用数据库漏扫产品检查配置,发现REST API是算是关闭,外理此类攻击最简单的法律法子若果将其关闭。

注入攻击是你这俩 宽泛说法,根据不同的语言注入有不同法律法子,针对MongoDB的注入攻击大体分成二种:解释形语言注入和JavaScript注入。

默认具体情况下MongoDB中的数据以明文形式存储。从3.2版本结束英文了了MongoDB默认使用具备加密能力的WiredTiger存储引擎。MongoDB增加了额外的安全层,时需数据库身份验证才时需访问加密内容。支持openssl库提供的多种加密算法,默认使用AES-256的cbc模式可选GCM模式或FIPS模式。

通过-nohttpinterface 取回 MongoDB的WEB管理页面。你这俩 MongoDB用户不知道你这俩 WEB管理页面,该页面不必数据库账号密码即可完成登录,从而查询你这俩 MongoDB的敏感信息;

1、通过升级3.0以上版本(目前尚未发现3.0以上版本有CVE漏洞)来外理自身安全问题。

4、禁用无用功能,外理你这俩 攻击。

最后推荐一下自家产品:

明文传输的会话信息容易被窃取,启用SSL时需外理网络窃听、篡改和珍间人攻击,这在一定程度会提高通讯安全。该启动项不仅支持客户端和服务器之间的通讯加密,也支持服务器之间的通讯加密。

三、Web安全问题

3、共要的权限,外理越权操作;

采用基于角色的访问控制(RBAC)管理对MongoDB系统的访问,向用户授予2个或多个角色,保证用户有必要的数据库资源和操作使用权限。创建各种不同权限的角色,成为外理MongoDB用户权限过大的唯一法律法子,如此一来会让创建角色变的比较复杂。此处时需采用这俩 于数据库防火墙的权限控制加以进一步控制。

默认MongoDB允许任意地址访问,勒索事件中的MongoDB除了如此设置用户密码外,同样也如此限制可信网络访问。为了确保MongoDB在受信任的网络环境中运行,时需限制MongoDB实例侦听传入连接的接口,仅允许受信任的客户端访问MongoDB实例。而限制外网的非法访问时需通过2个参数进行合理关闭:

本文通过对MongoDB已知安全隐患进行分析,尽可能指出怎么防控什么安全隐患,以期对MongoDB产品研发和应用提供你这俩 安全应对思路。

MongoDB默认具体情况下如此用户和密码,管理员若在admin库中的user里加带用户和密码,则其中的用户时需访问数据库下所有实例中存储的内容。同样,在每个分库的user中直接加带用户,效果一样,但此时默认用户的权限会过大。你这俩 业务不须时需整个实例乃至整个数据库的访问权限,权限过大可能给数据库带来安全隐患。

乍看起来,Web安全和MongoDB关系不大,但恰恰相反。鉴于MongoDB的部署环境和使用领域,愿因着从Web向MongoDB发动的攻击才是MongoDB面临的最大威胁。这主次攻击大体分成两类:

小结

通过-bind_ip限定时需访问的ip;

阿里云市场官方店铺:https://shop14d1000793.market.aliyun.com/ 

根据CVE列表,MongoDB从10009年面世至今一共发现了1八个漏洞,什么漏洞主要分布在2.0-2.6版本之间(MongoDB最高版本可能到3.4系列),漏洞主要分为以下三类:

MongoDB默认不开启审计能力,一旦开启,可对主次操作进行审计,跟踪数据库配置和数据的访问和更改。MongoDB商业版支持2个系统审计工具,可在MongoDB实例上记录系统事件(这俩 于用户操作,连接事件)。审计记录允许管理员事后进行取证分析,利用数据库审计产品也时需做这俩 于的事情。

一般会话则完就有明文信息,可能被不法分子窃听、篡改和珍间人攻击:

2、加密,保护信息安全;

默认配置问题是MongoDB当前最为突出的安全问题。2016年底,MongoDB勒索事件在全球范围内持续发酵,主因在于在默认部署具体情况下,MongoDB不必身份验证,即可登录,不法分子若果在互联网上发现MongoDB的地址和端口就时需通过工具直接访问MongoDB,并拥有MongoDB的完整性权限,从而进行任意操作。并非 会如此设计,愿因着在于:

作为目前使用最广泛的NoSQL数据库类型,MongoDB短时间内不能取得如此巨大的市场成功,内因在于其上述突出的社会形态。但正所谓成也风云,败也风云,什么社会形态同時 也给MongoDB带来了一定的安全风险。大致上,MongoDB的安全问题时需分为2个主次:

通过-port设置MongoDB的端口(不须使用默认的27017);

2、通过数据库防火墙产品,时需借助配置规则对注入攻击进行过滤。

Rest的问题是访问数据库不必身份验证(开启身份强制验证也没用),不能进行一定操作。CSRF(Cross-site request forgery)则是你这俩 WEB攻击手段,攻击者盗用管理员身份,提交当时人的命令。

MongoDB是10gen公司研发的面向文档的开源NoSQL数据库系统,用C++语言编写。MongoDB凭借简单的部署法律法子,高效的扩展能力、比较复杂的语言接口,并借着云蓬勃发展的势头,一度在全球数据库市场地处第四名。

2、可能上述漏洞重现,时需利用数据库防火墙虚拟补丁做有利补充。

敏感数据泄露

默认配置下,MongoDB不时需进行身份验证即可登录。在MongoDB部署上启用访问控制会强制进行身份验证,根据当前用户实际权限判断后续操作是算是被允许。使用auth参数时需开启MongoDB的强制身份验证,为保证auth的真正生效,时需同時 在user中配置用户名和密码信息。开启auth能有效杜绝网上非法用户恶意访问和非法操作行为,保护MongoDB中的数据安全。此处时需通过这俩 于防火墙的身份验证,仅允许你这俩 特定用户通过,外理非法访问行为。

登录调用的函数地处缓冲区溢出漏洞,会愿因着服务宕机

上述愿因着最终会愿因着互联网上冒出 多量完整性开放且脆弱的MongoDB。据调查,截止当前,我国互联网上易被发现的MongoDB有7282个,其中主次仍可随意登录。要外理上述问题就时需对MongoDB进行合理配置,其中,进一步配置的不仅是身份验证和网络控制,还有更多可能造成安全隐患的主次。

1、网络隐藏,外理恶意访问;

1、针对配置参数,使用数据库漏扫产品进行检查,生成安全具体具体情况,指导并帮助用户对MongoDB进行安全加固。

云安全产品限时体验:http://www.dbscloud.cn/dbscloud1111.html

一、默认配置安全问题

越权操作

猜你喜欢

PostgreSQL技术周刊第14期:PostgreSQL 在社交应用领域的最佳实践

PostgreSQL技术周刊第22期:应用开发者指南PostgreSQL技术周刊第28期:应用开发者指南PostgreSQL技术周刊第24期:PostgreSQL体系化系列直播

2020-02-25

【2019阿里云峰会上海站】宋亦皇

基于深度学习技术及阿里巴巴多年的海量数据支撑,提供繁杂的内容识别服务,能有效帮助用户降低违规风险。其产品包括:ECS站点检测...阿里云数据库内置的智能专家,提供云数据库问题诊

2020-02-24

叙述某一部文学作品中塑造的人物英雄故事

■薛刚今夜敌营灯火通明4005.3.14.深夜不可能 历史那么写错■文天祥全都切不让妨碍你成为英雄即然安了邦定了国不可能 最后一次饮尽酒泉水依然映红全都无地自容的脸闻风而逃

2020-02-24

当代世界主要的哲学家有哪些

为你推荐:现在伟大的哲学家很少了,将会是将会环境和世界的改变所造成的吧,想一想现在是哪些地方社会?是个利益和金钱的社会,即使在有天赋头脑的人,也会被金钱所迷惑。你对其他回答的评

2020-02-24

鬼泣四但丁皇家护卫风格的反攻叫什么

扫描二维码下载下载百度知道APP,抢鲜体验另外在敌人攻击你的一瞬间释放一闪,都前要造成超高的伤害,当然伤害值也取决于皇家护卫怒气槽的积攒量。這個是瞬一闪,对释放时机的把握有较高

2020-02-24