Mongodb空密码可连接安全性问题

最新推荐文章于 2024-05-09 08:00:00 发布
最新推荐文章于 2024-05-09 08:00:00 发布
阅读量3.3k 收藏 2
点赞数 1
分类专栏: 数据库 文章标签: 数据库 mongodb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xu_programmer/article/details/116561078
版权

记一次踩坑,系统扫漏洞发现有一些空密码用户,test,web,admin等,但经过查询并没有发现这些用户。用navicat远程连接的时候,填好库名,不填写用户名和密码,测试也可以连通(但不会能查询和操作)。

后来查询到,mongodb默认是连接test库,但是没有认证是无法执行命令行的。

因为mongodb默认情况下,连接和和操作是不需要授权验证的,而且连接和身份认证不同,即使设置了认证,依然可以连接到库,只是无法操作和查看任何数据。

身份认证也就是每次操作时的du.auth('username','password')的操作。

为了保证安全问题

所以mongodb要设置身份认证,

启动mongodb服务要带上-auth命令,要求操作需要认证,也可以在mongod.conf文件里修改,很多相关的博客讲过。

绑定可连接的ip,可以修改端口号防止有人尝试性连接。

修改mongod.conf里的设置ip bind_ip=localhost,172.XXX.XXX.XXX,如果可以让任何人可以连接就设置成0.0.0.0。

设置防火墙,不让公网访问或者限制ip访问。

 

夏安code
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
datax到hive数据全部为_使用DataX从mongodb导入到hive
weixin_39957934的博客
12-20 309
{"core": {"transport": {"channel": {"speed": {"record": -1,"byte": -1}}}},"job": {"content": [{"reader": {"name": "mysqlreader","parameter": {"username": "$username","password": "$password","query":"{...
golang 连接mongoDB的方法示例
09-09
6. **连接字符串的构建**:连接字符串的格式包括固定部分`mongodb://`,可选的用户名和密码,至少一个主机地址,可选的端口号,以及可选的数据库名和连接选项。例如,`mongodb://username:password@host1:port1/...
Mongodb 忘记密码的解决办法
12-16
下午刚设置的密码,当时忘记保存,晚上去吃了个晚饭回来就忘记了。研究了一会发现也不难,不过网上没有直接搜到就记录一下,按照以下步骤操作即可 操作步骤: 代码如下: vim /etc/mongodb.conf          # 修改 mongodb 配置,将 auth = true 注释掉,或者改成 false service mongodb restart        # 重启 mongodb 服务   mongo                          # 运行客户端(也可以去mongodb安装目录下运行这个) use admin                      #
十个提高MongoDB安全性的配置技巧
09-10
主要介绍了十个提高MongoDB安全性的配置技巧,需要的朋友可以参考下
未授权访问:MongoDB未授权访问漏洞
最新发布
qq_68163788的博客
05-09 1925
未经授权而访问MongoDB数据库的漏洞,攻击者可以利用这个漏洞来获取敏感数据、修改数据甚至破坏数据库。漏洞通常是由于管理员未正确配置访问控制、弱密码或者未及时更新数据库等原因导致的。为了防止未授权访问,管理员应该及时更新数据库版本、配置访问控制列表、使用强密码以及监控数据库访问日志等措施。通过加强安全措施和定期审查数据库权限,可以有效防止未授权访问漏洞的利用,保护数据库安全。
Mongodb 设置密码
qq_43682661的博客
02-08 170
Mongodb 设置密码
MongoDB连接安全
小北
01-28 8008
以前,在使用关系型数据库时,没有用户名和密码我们是不能访问数据的。但是在MongDB中,默认不需要使用用户名和密码就可以访问数据库,并且可以进行各种操作。这样是虽然利于初学者,但是很不安全的。所以,今天说一下MongDB的连接安全问题。       首先,之所以能够不使用用户名和密码就能连接,是因为我们在启动MongoDB服务的时候,没有设置权限认证。     1、不用用户名和密码就能访问的
mongodb 重启_Yum安装mongodb并开启用户认证及远程登录
weixin_39670246的博客
11-28 100
Yum安装mongodb及开启用户认证远程登录1、 配置yum源这里我们以阿里云的源为例,内容如下:#Yum软件仓库唯一标识符[mongodb-org]#Yum软件仓库的名称描述name=MongoDB Repository#FTP(ftp://..)、HTTP(http://..)、本地(file:///..)baseurl=http://mirrors.aliyun.com/mongodb/y...
【Python实战】在阿里云服务器上安装MongoDB,并实现远程可视化连接
weixin_33691700的博客
06-04 729
本文涉及到的东西: 阿里云服务器ECS CentOs 7.4系统 MongoDB 3.6 由于自己学习和公众号后台开发项目需要(总不能总在本地使用MongoDB开发吧,也得拉出来在实际生产环节中试试),在百度了很多方法来在阿里云服务器上安装MongoDB,效果都不是很好,所以这次我又为大家踩坑,给大家梳理一下安装MongoDB的过程。 建议大家保存文章,或者收藏,以备日后之需。 此安装方法...
Node.js Mongodb 密码特殊字符 @的解决方法
12-23
在加强MongoDB安全性时,设置复杂密码是明智的选择,但同时需要注意这些复杂性可能带来的兼容性问题。上述两种解决方案可以帮助你在密码中包含特殊字符的情况下,仍能顺利连接MongoDB服务器。 在实际应用中,确保...
MongoDB连接字符串的编写
09-10
MongoDB连接字符串是连接MongoDB数据库的关键组成部分,它包含了所有必要...MongoDB因其易用性、免费开源和非关系型特性,在众多互联网应用中广泛应用,正确理解和使用连接字符串对于顺利连接MongoDB数据库至关重要。
mongodb 实现远程连接
12-16
2. 取消 `auth = true` 前的注释,启用身份验证,以增加安全性。 配置文件修改后,保存并关闭。 **步骤三:重启 MongoDB 服务** 完成配置文件的修改后,需要重启 MongoDB 服务以应用新的设置。在大多数 Linux 系统...
mongodb 修改用户密码 2种方法
09-10
密码会被正确地处理并存储为哈希值,确保了安全性。 **方法二:使用`db.changeUserPassword`命令** `db.changeUserPassword`是专为修改用户密码设计的命令,它允许直接安全地更改用户的密码。例如: ```shell db...
mongodb数据库的6个安全设置命令
09-10
为了确保数据库安全性MongoDB提供了多种安全设置命令,下面我们将详细讨论这六个关键的命令。 1. **安全模式启动**: MongoDB可以通过添加`--auth`参数来启动安全认证模式。这使得在连接数据库时必须提供...
MongoDB 连接
chunli5093的博客
05-19 109
以前,在使用关系型数据库时,没有用户名和密码我们是不能访问数据的。但是在MongDB中,默认不需要使用用户名和密码就可以访问数据库,并且可以进行各种操作。这样是虽然利于初学者,但是很不安全的。所以,今天说一下MongDB的连接安全问题。 首先,之所以能够不使用用户名和密码就能连...
mongodb设置远程连接
archer的技术故事
04-14 5286
本文主要介绍如何远程连接mongodb。如果还没有安装mongodb可以参考如下文章:https://blog.csdn.net/wild46cat/article/details/79455705好,下面上货。1、设置/etc/mongod.conf文件mongodb在默认情况下是不允许远程连接的,需要在配置文件中进行配置vim /etc/mongod.conf注意里面的内容:net: po...
阿里云centos7安装mongodb,并开启远程连接
lilong329329的博客
12-18 791
1、下载mongodb 使用命令:curl -O https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-3.2.9.tgz 2.上传到服务器,我这里用的是阿里云的远程服务器,并解压和重命名 [root@iZuf60c96cgo48sizrvza6Z ~]# tar -zvxf mongodb-linux-x86_64-3.2.9.tgz -C ...
mongodb初始密码
08-30
对于 MongoDB 的初始密码,默认情况下是没有设置密码的。当你第一次启动 MongoDB 时,可以直接连接数据库而无需密码。不过,为了安全起见,在生产环境中,强烈建议你设置一个强密码来保护你的数据库。 如果你已经设置了密码,但忘记了初始密码,可以按照以下步骤进行重置: 1. 停止 MongoDB 服务。 2. 以不同的参数启动 MongoDB,使用 `--auth` 参数来启用身份验证。例如,使用以下命令启动 MongoDB: `mongod --auth`。 3. 连接MongoDB 服务器: `mongo`。 4. 切换到 `admin` 数据库: `use admin`。 5. 创建一个管理员用户(如果不存在): `db.createUser({user: "admin", pwd: "<new_password>", roles: ["root"]})`。将 `<new_password>` 替换为你想要设置的新密码。 6. 退出数据库: `quit()`。 7. 停止 MongoDB 服务。 8. 使用新密码重新启动 MongoDB 服务。 这样,你可以使用新密码连接MongoDB 服务器并进行操作。请确保妥善保管你的密码以确保数据库安全性

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值