redis mongodb 不用开启用户密码验证么?

2016-07-27 10:09:33 +08:00
 nilai
今天跟 DB 讨论安全相关问题, 说到 redis mongodb 不用开启用户密码验证, 若开启了会有很大的性能损耗。 还说所有大公司、业界都是这样处理的。 所有发上来问问大家是不是这样?
3542 次点击
所在节点    问与答
10 条回复
lijinma
2016-07-27 10:24:29 +08:00
一般不开启,如果开启每次请求操作的时候都需要 auth ,一般靠网络或端口来限制访问。
ivanchou
2016-07-27 10:27:07 +08:00
被头像吸引进来的,好难受。
lecher
2016-07-27 10:27:17 +08:00
不是,敢不开密码就是作死。不是空密码 iptables 不开端口就没事了。不差这点校验密码的计算性能,大不了加服务器。

Redis 有过提权漏洞,就在 V2EX 就爆过 Redis 无密码,通过 Web 权限提权的 bug 。

乌云爆过不开 MongoDB 密码,拿到 Web 权限就去拖库的漏洞。
nilai
2016-07-27 10:31:51 +08:00
@lecher 我就是这样子告诉他们, 他们一上来就扯业界都是这样子做的。 现在的状态就是在服务器内网环境中 任意一台机器都能登陆上 redis mongodb 了。。
huixia0010
2016-07-27 10:39:06 +08:00
@nilai 这还扯什么淡啊,内网谁都能上,公交车么,不加密码玩儿个蛋啊
orvice
2016-07-27 10:41:07 +08:00
@nilai 内网随便机器都能登录???

我们有几台机器也是没有设置密码但是有限制 ip
ChoateYao
2016-07-27 10:44:29 +08:00
我讲一个例子,内网服务器 Redis 没有开启授权验证,而且为了方便开发链接 Redis 也没有做端口 IP 限制。

某天某个开发下载了一个盗版软件,第二天服务器所有文件给删除了。

经查日志发现使用 Redis 在.ssh 文件夹中写入了公钥。
lecher
2016-07-27 12:54:45 +08:00
那就是偷懒了。
所谓业界不设密码的事情,不是为了追求性能,现在被曝得多了,都严格审查权限设置密码了。

这有个 Redis 注入 .ssh 获取登录权限的分析
http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/

不想设也无所谓,风险说清楚,到时候该谁的责任别推卸也无所谓。
wolegequ
2016-07-27 13:02:46 +08:00
服务器内网有访问权限吗
ygjack
2017-09-13 09:58:05 +08:00
好喜欢这个头像啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/295191

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX