MongoDB黑客事件浅析
前几个月发生了一件大事,真是惊为天人啊,多个公司的mongoDB被黑了,黑客删除了数据库中的数据并在数据库中留下勒索信息索要比特币,说是给了钱才肯恢复数据,据说所有被删的数据居然超过了100TB,数据库的安全问题不容忽视啊。
个人感觉如果这件事如果发生了,不要盲目地直接去打钱给黑客,他说给钱就还原就真还原啊!!!别再次被坑了,先尝试使用其他手段尝试进行数据恢复,如备份等手段。
防范措施
mongodb其实没有那么不安全,主要是使用者的安全意识薄弱,没有去详细了解mongodb的官方的安全文档。
措施1:
现在大部分mongodb都处于裸奔状态,很多mongodb都没有开启用户认证功能,部分项目的mongo配置都是auth=false的状态,也就是说完全不用用户名和密码就可以进入数据库。应该先设置root权限用户,再把重新配置mongodb的配置文件把auth=true附上,重启mongo,再设置其他用户。mongodb其实有一套详细的角色权限控制系统。在Mongodb中其实有两个结合,分别是User(用户信息)、Role(权限)两个集合,在mongo shell中通过对这两个集合操作可以实现十分精细的权限操作:
db.createUser({