2017年1月,正值新年伊始洽糟,一些黑客組織發(fā)動(dòng)了一場(chǎng)針對(duì)MongoDB數(shù)據(jù)庫(kù)的攻擊阿浓,全球有數(shù)以萬(wàn)計(jì)的MongoDB中招,它們的數(shù)據(jù)庫(kù)被整個(gè)完整得清空默刚,然后新建了一個(gè)名為“WARNING”的數(shù)據(jù)庫(kù)甥郑,索要贖金。然而令人瞠目結(jié)舌的是荤西,這些所謂的“攻擊”甚至不能叫做攻擊澜搅,因?yàn)檫@些中招的MongoDB正處于“裸奔”的狀態(tài)!
所謂“裸奔”邪锌,就是說(shuō)MongoDB直接對(duì)公網(wǎng)開放所有的讀寫權(quán)限勉躺,更嚴(yán)重的是,MongoDB默認(rèn)配置甚至不需要用戶名密碼就能直接登錄進(jìn)行管理觅丰,也就是說(shuō)饵溅,任何人都可以對(duì)MongoDB進(jìn)行讀、寫妇萄、甚至直接毀滅(Drop)蜕企。而本次攻擊的,正是這樣的一些MongoDB嚣伐。
這次攻擊正突顯了MongoDB的使用者安全意識(shí)的缺乏糖赔,竟然讓自己的數(shù)據(jù)庫(kù)對(duì)外網(wǎng)開發(fā)萍丐,并且還不設(shè)置密碼轩端,被攻擊了也是活該。
所以逝变,在學(xué)習(xí)MongoDB之初基茵,就請(qǐng)一定不要忘記奋构,在部署MongoDB到服務(wù)器時(shí),一定一定要注意安全設(shè)置9安恪C志省!根灯!
1.啟動(dòng)服務(wù)器的兩種方式
1.1 不安全的啟動(dòng)方式
前面提到径缅,啟動(dòng)MongoDB的命令是:
mongod --dbpath ../data/db
不過(guò),需要注意的是烙肺,這種方式是不安全的纳猪!為什么說(shuō)是不安全的?原因是通過(guò)這種方式啟動(dòng)MongoDB桃笙,如果沒(méi)有綁定可訪問(wèn)的IP氏堤,那么就相當(dāng)于把自己的數(shù)據(jù)庫(kù)直接暴露在公網(wǎng)中,也就是所謂的“裸奔”搏明。因此鼠锈,在部署生產(chǎn)環(huán)境的時(shí),一定不能用這種方式來(lái)啟動(dòng)星著。
下圖是開啟了一個(gè)shell終端來(lái)訪問(wèn)數(shù)據(jù)庫(kù)购笆,命令是mongo <mongodb所在服務(wù)器的IP或域名>:27017;默認(rèn)端口號(hào)是 27017虚循,如果你修改過(guò)MongoDB服務(wù)的端口號(hào)由桌,則將 27017 替換為你修改的端口號(hào)即可。
1.2 安全的啟動(dòng)方式
要以安全的方式啟動(dòng)MongoDB數(shù)據(jù)庫(kù)邮丰,需要在啟動(dòng)命令中加入 --auth 參數(shù)行您;一旦加上此參數(shù),登錄服務(wù)器就必須是認(rèn)證的用戶剪廉。
mongod --auth --dbpath ../data/db
使用 --auth 參數(shù)重新啟動(dòng)MongoDB后娃循,再通過(guò)shell查看所有數(shù)據(jù)庫(kù),就會(huì)提示需要登錄了:
需要說(shuō)明的是斗蒋,如果你只是在MongoDB服務(wù)所在的本機(jī)中進(jìn)行操作捌斧,是不會(huì)被禁止的。啟動(dòng)shell的命令直接用
mongo即可泉沾,不需要在后面加上IP和端口號(hào)捞蚂。
2.MongoDB的身份驗(yàn)證
我們?cè)趩?dòng)MongoDB后,查看所有的數(shù)據(jù)庫(kù)跷究,會(huì)發(fā)現(xiàn)我們什么都還沒(méi)做姓迅,有已經(jīng)有兩個(gè)特殊的數(shù)據(jù)庫(kù): admin 和 local。
事實(shí)上,這兩個(gè)數(shù)據(jù)庫(kù)正是MongoDB進(jìn)行身份驗(yàn)證所需的丁存。我們可以將這兩個(gè)數(shù)據(jù)庫(kù)中的用戶看作是管理員肩杈,或者說(shuō)是超級(jí)用戶;經(jīng)過(guò)認(rèn)證后解寝,管理員可以對(duì)任何數(shù)據(jù)庫(kù)進(jìn)行讀寫操作扩然,并執(zhí)行某些特殊命令,如listDataBases 和 shutdown [1]聋伦。
2.1 增加一個(gè)管理員
如果MongoDB服務(wù)是在本機(jī)夫偶,則直接操作即可。但如果MongoDB在遠(yuǎn)程觉增,則需要:
- 遠(yuǎn)程的MongoDB使用不安全的方式啟動(dòng)索守,然后在本地進(jìn)行操作
- 或者在遠(yuǎn)程的MongoDB中設(shè)置允許訪問(wèn)的IP:
mongod --bind_ip 127.0.0.1,10.118.4.27[2]
我們以第一種方式,即讓遠(yuǎn)程MongoDB服務(wù)以不安全方式啟動(dòng):
mongod --dbpath ../data/db
MongoDB啟動(dòng)后抑片,我們通過(guò)shell連接到此服務(wù)器卵佛,并執(zhí)行:
> use admin
switched to db admin
>
> db.addUser("root", "123456")
{ "n" : 0, "connectionId" : 2, "err" : null, "ok" : 1 }
{
"user" : "root",
"readOnly" : false,
"pwd" : "34e5772aa66b703a319641d42a47d696",
"_id" : ObjectId("58c20b105991fbda9129bad9")
}
在創(chuàng)建了管理員后,我們讓遠(yuǎn)程服務(wù)以安全模式重啟敞斋,然后在本地用剛剛創(chuàng)建的管理員帳戶登錄:
> use admin
> db.auth("root", "123456")
需要注意的是截汪,一定要先切換到admin數(shù)據(jù)庫(kù),否則會(huì)如下圖紅框內(nèi)所示植捎,仍無(wú)法管理:
在實(shí)際使用中衙解,不要設(shè)置**
123456**之類的弱密碼!設(shè)置的密碼最起碼要滿足以下幾個(gè)條件
- 位數(shù)在8位以上
- 包含大小寫字母焰枢、數(shù)字
- 建議包含一些特殊符號(hào)蚓峦,如
$@#等
2.2 設(shè)置管理員只讀權(quán)限
在 db.addUser() 命令中,最后一個(gè)參數(shù)為 readOnly济锄,如果設(shè)置為 true 暑椰,即表示此用戶只有讀權(quán)限、沒(méi)有寫權(quán)限荐绝,操作如下:
db.addUser("reader", "123456", true)
這樣創(chuàng)建的管理員就只能讀取數(shù)據(jù)庫(kù)了一汽。
2.3 更改管理員權(quán)限
addUser() 命令既可以用來(lái)創(chuàng)建新用戶,也可用于更改原用戶的權(quán)限低滩、設(shè)置新密碼等召夹。
比如,我們要將上面創(chuàng)建的 read 用戶的密碼改為 654321 恕沫,則:
db.addUser("reader", "654321", true)
再比如监憎,我們要將上面創(chuàng)建的 read 用戶的設(shè)置為讀寫權(quán)限 ,則:
db.addUser("reader", "654321", false)
3.管理管理員
是的婶溯,我們要知道有多少管理員鲸阔、他們的權(quán)限是怎樣的偷霉,我們需要管理這些管理員。
3.1 身份驗(yàn)證的原理
MongoDB的管理員用戶是存儲(chǔ)在system,users中的隶债,其結(jié)構(gòu)信息如下:
{
user : username,
readonly : true,
pwd : password hash
}
其中,password hash 是基于 username 和密碼生成散列值 [1]
因此跑筝,從本質(zhì)上說(shuō)死讹,管理員的身份信息也是存儲(chǔ)在一個(gè)數(shù)據(jù)庫(kù)中;那么我們要管理管理員曲梗,操作方法也是一樣的赞警,只是要對(duì) system.users 進(jìn)行操作。
既然管理員身份信息是存儲(chǔ)在
system.users中虏两,我們?cè)陂_發(fā)過(guò)程中愧旦,也應(yīng)避免將網(wǎng)站的數(shù)據(jù)庫(kù)命名為system
3.2 刪除一個(gè)管理員
很簡(jiǎn)單地,要?jiǎng)h除一個(gè)管理員用戶(如刪除 read 用戶)定罢,只需要執(zhí)行 remove 命令即可:
db.system.users.remove({"user", "read"})
[1] 資料來(lái)自 《MongoDB權(quán)威指南》笤虫,圖字01-2013-6738號(hào),人民郵電出版社
[2] 參考資料: MongoDB限制內(nèi)網(wǎng)訪問(wèn)的方法
