为什么默认的mongodb停靠实例不安全？

Question

我正在我的ubuntu服务器上作为一个码头容器运行一个mongoDB。昨天数据库被黑了，我不明白是什么配置错了。好的，我只是使用默认的配置--我猜这不是最好的方法。但我认为数据库只能从我的内部容器中访问，因为我使用的是docker。所以这显然是错误的。

我想了解为什么这个坞-撰写文件给我一个不安全的mongoDB：

version: '3.5'

networks:
  reverse-proxy:
    name: reverse-proxy
    driver: bridge

volumes:
  html:

services:
  nginx-proxy:
    image: jwilder/nginx-proxy
    container_name: nginx-proxy
    networks:
      - reverse-proxy
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - /opt/nginx-proxy/vhost.d:/etc/nginx/vhost.d:rw
      - /opt/nginx-proxy/htpasswd:/etc/nginx/htpasswd:ro
      - /opt/nginx/certs:/etc/nginx/certs:ro
      - html:/usr/share/nginx/html
      - /var/run/docker.sock:/tmp/docker.sock:ro

  mongodb:
    container_name: mongodb
    image: mongo:4.0
    networks:
      - reverse-proxy
    restart: unless-stopped
    ports:
      - "27017:27017"
    volumes:
      - /opt/mongo/data:/data/db
      - /restore:/restore 

Answer 1

在我的例子中，我使用ufw来管理我的防火墙。结果显示，docker在绕过ufw的防火墙时，插入了iptables规则(大概是为了让事情在开发环境中正常工作)。它看起来像是27017端口受到ufw的保护，但它实际上是在iptable中打开的。我在以下答覆中提供了更多详情：

Easiest way to avoid the recent Mongo-db scam

这是很可能的28,000受此蒙戈黑客影响的许多是使用ufw +码头，并没有意识到他们的芒果端口实际上是开放的，当他们认为它是关闭的。同样也适用于任何使用ufw +码头的其他设备。