背景:昨天是2017年第一天上班,作者依然开开心心的带着2017年新的目标来到了公司,一如既往的打开电脑,打开“程序猿”们都熟悉的idea准备开始工作,呵呵!有点啰嗦。当我打开常用的数据库mongo客户端时发现,咦?怎么多了个奇怪的数据库,于是打开查看了一下顿时傻眼!
哎吆!我去!17年收到黑客大礼,虽然不能证明什么,最起码证明我们的数据还是比较值钱的,心喜!亡羊补牢为时不晚,赶紧滴提升服务器的安全级别。
方案: 由于mongo的特殊性,默认是不开启权限认证的,它允许使用者不需要输入用户名密码只需要知道ip及port即可访问数据,我们采用通过服务器的防火墙限制访问的ip及port端口号来提升访问的安全性,服务器系统是Centos7。
1.安装iptables
- 由于centos7默认是使用firewall作为防火墙,下面介绍如何将系统的防火墙设置为iptables。
①关闭firewall
#停止firewall
systemctl stop firewall.service
#禁止firewall开机启动
systemctl disable firewall.service
②安装iptables防火墙
#安装iptables
yum install iptables-services
2.编辑防火墙拦截规则
$ vim /etc/sysconfig/iptables
注:iptables命令使用详解
举例:
以下是允许“xxxx.xxxx.xxx.xxxx”ip地址访问本机的80端口:
-A INPUT -s xxxx.xxxx.xxx.xxxx -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
以下是端口,先全部封再开某些的IP
-A INPU