未曾料到被黑客勒索比特幣的戲碼竟然降臨到我的身上,幾個月的技術積累付之一炬。怪只怪自己學藝不精,心存僥幸和無知,不過經此一役,方知網路安全防護的重要性。 一直未給自己的mongodb資料庫設置賬號密碼,也沒禁止外網訪問,等同於在這個開放的網路世界里裸奔了幾個月,不被人惦記才怪呢。 昔人有雲:跌倒並不 ...
未曾料到被黑客勒索比特幣的戲碼竟然降臨到我的身上,幾個月的技術積累付之一炬。怪只怪自己學藝不精,心存僥幸和無知,不過經此一役,方知網路安全防護的重要性。
一直未給自己的mongodb資料庫設置賬號密碼,也沒禁止外網訪問,等同於在這個開放的網路世界里裸奔了幾個月![[允悲]](http://img.t.sinajs.cn/t4/appstyle/expression/ext/normal/2c/moren_yunbei_org.png)
,不被人惦記才怪呢。
昔人有雲:跌倒並不可怕,可怕的是在同一個地方跌倒兩次。
亡羊補牢,猶未遲也。
那麼我將從兩個方面提高mongo資料庫的安全防護繫數
1.設置mongodb外網禁止訪問
啟動資料庫時,額外添加--bind_ip 127.0.0.1即可
./mongod --bind_ip 127.0.0.1 --dbpath /data/db --auth
也可以通過修改/etc/mongod.conf文件添加一行代碼
#只監聽本地介面,多個介面用,隔開
bind_ip = 127.0.0.1
2.為資料庫設置賬號密碼登錄許可權
為了保證資料庫需要賬號密碼才能連接,那麼在啟動資料庫的時候需要添加auth參數
./mongod --dbpath /data/db --auth
也可以通過修改/etc/mongod.conf文件添加一行代碼
auth = true
這樣在進行資料庫連接的時候需要相應的賬號密碼才能成功訪問。
如果之前資料庫未設置賬號密碼的話,那麼需要先添加一個管理員賬戶,
> use admin switched to db admin > db.createUser({user:"root",pwd:"123456",roles:["userAdminAnyDatabase"]}) Successfully added user: { "user" : "root", "roles" : [ "userAdminAnyDatabase" ] }
此時我們就成功的創建了一個管理員賬戶 賬戶名 root 密碼 123456 ,此時執行show dbs會出現如下報錯
> show dbs 2017-12-03T22:14:58.418+0800 E QUERY [thread1] Error: listDatabases failed:{ "ok" : 0, "errmsg" : "not authorized on admin to execute command { listDatabases: 1.0 }", "code" : 13, "codeName" : "Unauthorized" } .....
上邊提示意為當前admin資料庫未經授權無法執行指令,因此需要以管理員身份登錄驗證,如下操作
> db.auth('dpd','123456')
1
上邊執行登錄操作,輸出結果 1,說明登錄成功。此時再執行 show dbs 則會成功輸出結果。此刻我們是以管理員的身份登錄資料庫,如果切換到test資料庫,執行db.blog.insert({name:1})會報錯如下,同樣意為該資料庫未經授權無法操作:
> use test switched to db test > db.blog.insert({name:1}) WriteResult({ "writeError" : { "code" : 13, "errmsg" : "not authorized on test to execute command { insert: \"blog\", documents: [ { _id: ObjectId('5a240d8e2d43081ea4271cc8'), name: 1.0 } ], ordered: true }" } })
所以要為test資料庫添加一個用戶,並以該用戶身份登錄才可以執行對該數據的操作。
> db.createUser({user:'use1',pwd:'123456',roles:["readWrite"]}) Successfully added user: { "user" : "use1", "roles" : [ "readWrite" ] } > db.auth('use1','123456') 1 > db.blog.insert({name:1}) WriteResult({ "nInserted" : 1 }) >
至此,完成了通過賬號和密碼登錄許可權對資料庫的訪問和操作。
那麼最終標準的連接test資料庫的URI語法如下:
mongodb://use1:123456@localhost:27017/test
通過設置上述兩道關卡,媽媽再也不用擔心我的學習啦![[嘻嘻]](http://img.t.sinajs.cn/t4/appstyle/expression/ext/normal/0b/tootha_org.gif)
