MongoDB安全性

Question

我正在寻找MongoDB服务器的“安全最佳实践”，除了“一般”服务器的安全最佳实践。你能告诉我有用的资源吗？

Answer 1

基本上需要做的是

启用身份验证

打开mongoDB外壳

use admin
db.addUser("admin","adminpassword")

(重要提示:在启用身份验证之前，您需要一个管理员用户，否则您将无法访问数据)。

现在编辑mongodb配置文件sudo vi /etc/mongodb.conf

并取消对auth=true的注释。保存并重新启动mongo db sudo service mongodb restart

将mongoDB绑定到受信任的网络或机器

编辑mongoDB配置文件并添加能够连接到mongoDB的bind_ip = 127.0.0.1或以逗号分隔的IP列表。然后重新启动。

有关更多信息，您可以在我的网站here上找到相关指南

Answer 2

安全问题始终是特定于应用程序的。用一般的方式来完整地回答这个问题确实是不可能的。

通常，依赖于NOSQL数据库的应用程序很容易受到OWASP A4 - Insecure Direct Object Reference的影响。应该注意的是，_ID的值不是一个加密的随机数，这个值在很大程度上依赖于时间戳，所以攻击者很容易猜到这些值。

另一个常见的问题是CWE-602 - client side enforcement of server side security。客户永远不会被信任，如果他们直接与数据库交互，那么他们就拥有数据库，period。

Answer 3

有两种方法：

1. 在可信环境中安装不带--auth选项的mongodb。通常是安装应用程序和数据库的本地网络。在mongodb端口未被防火墙阻止的环境中，此网络外部的服务器无法访问mongodb和其他带有--auth选项的resources.
2. install mongodb，每个人都可以访问它。

有关安全性的更多详细信息，您可以在here中找到。