有关MongoDB尚未解决的安然隐患是什么?在补丁可用之前,企业可以采取哪些办法以缓解这些威逼?
在我看来,默认情况下所有软件都应当被锁定,且应当仅在须要时启用某些功能。如不雅应用法度榜样在默认情况下不履行此操作,并留有记录,那么义务归咎于治理员。因为较早版本的MongoDB的默认设备较随便,是以数据库治理员应当大年夜验证一些事开端着手。
Matthew Pascucci:比来,网上有关MongoDB设备缺点的进击正在加剧。进击者删除原始数据库并以备份件索要赎金,滥用这些MongoDB实例的身份验证和远查拜访。
最后,日记记录和审计、马脚扫描、设备和补丁治理都是很好的做法,可以缓解相干安然问题。如不雅没有对MongoDB实例或者真正的体系进行恰当治理,可能会导致企业的安然风险升高,乃至产生数据泄漏问题。
这些及其他MongoDB安然误设备和漏洞竽暌闺补丁治理并不完全相干,较切近设备治理范畴。企业可采取办法来改良MongoDB的安然性,并保护数据库免受进击。
这里的重要问题在于MongoDB的某些版本默认设备异常随便。在这种情况下,义务在于安装数据库软件的治理员,是因为他们没有恰当的治理造成的。
改良MongoDB安然性的第一步是肯定运行数据库的办事器是否须要有任何入站连接。很多时刻,这些数据库是长途安装的,须要长途治理员的拜访。MongoDB的默认端口为27017,如不雅不是只绑定到127.0.0.1,并且防火墙没有被锁定,则进击者可以或许远查拜访数据库。
确保只打开了精确的端口,如无须要限制可以拜访体系、并大年夜互联网上删除所有拜访的人员权限。别的,如不雅某些实例不得不经由过程互联网打开以降低可见性,推敲应用VPN连接的可能性。
其次,确保验证和运行数据库的用户身份有效。以前的一个问题是默认设备许可未经身份验证的用户经由过程互联网拜访数据库。强烈建议企业采取某种基于角色的拜访控制来限制特定用户无法拜访的数据库部分。
此外,运行数据库的用户帐户不该对体系的其余部分拥有完全的治理员权限。将权限直接限制在应用法度榜样中,可以抵抗应用法度榜样中可能出现的其他马脚(如SQL注入)。
第三步是验证数据库中的数据在传输和存储过程中都被加密。有一种叫做WiredTiger的本地加密可以在特定的MongoDB版本中应用,有助于保护数据库中的数据。这不会有助于勒索软件进击中产生的偷盗问题,但会让被盗数据被应用。如不雅企业须要远查拜访数据库,则应经由过程TLS来实现以确保传输中的通信安然。
【编辑推荐】
- 数据库10大年夜常见安然问题盘点
- 数据库10大年夜安然对象盘点
- 腾讯云数据库团队:SQL Server数据加密功能解析
- Oracle数据库安然防备:典范问题和解决思路
- 瑞数动态安然 - 零补丁、零规矩 主动抵抗未知零日进击
推荐阅读
现如今,信息技巧的成长为人们带来了诸多便利,无论是小我社交行动,照样贸易晃荡都开妒攀离不开辟络了。然则网际空间带来了机会的同时,也带来了威逼,个中DDoS就是最具破坏力的进击,经>>>详细阅读
地址:http://www.17bianji.com/lsqh/35663.html
1/2 1
网友点评
精彩导读
科技快报
品牌展示