求一份 MongoDB 安全配置

2019-05-11 20:09:20 +08:00
 seoguess
网站数据库被清空了,多了一个 hacked_by_unistellar。

修改用户名然后设置 BIND IP 可以吗?
2816 次点击
所在节点    程序员
9 条回复
WordTian
2019-05-11 20:18:33 +08:00
1.尽量不对外网开放端口,否则最好限制访问 ip
2.设好密码,复杂度较高的那种
3.没了
nicolas0caser
2019-05-11 21:17:40 +08:00
CIS MongoDB Benchmark
seoguess
2019-05-13 11:50:22 +08:00
@WordTian 你好,请问设置过 bindip 同时绑定 locahost 跟外网本地 ip 吗?

net:
port: 27233
bindIp: 127.0.0.1,localhost,154.***.***.***

我设置成这个的时候,所有的 ip 都可以连接上去。如果删除了 154 开头的外网 ip,就只能本地连接数据库了。

服务器上 netstat -a |grep :27233 显示如下:

tcp 0 0 localhost:50822 localhost:27233 ESTABLISHED
tcp 0 0 localhost:27233 localhost:50818 ESTABLISHED
tcp 0 0 154.XXX.X.XXX:27233 116.XXX.X.XXX:60584 ESTABLISHED


请问我的设置哪里出现了问题?搞了一整天了没找到资料。或者我干脆放弃 bindip,从 iptables 下手可行?谢谢!
seoguess
2019-05-13 12:14:34 +08:00
@nicolas0caser 你好,bindip 设置请教一下。
seoguess
2019-05-13 12:15:35 +08:00
net:
port: 27233
bindIp: 127.0.0.1,localhost,154.*.*.*

mongod.conf 启动时候没报错,但是就是不生效。
WordTian
2019-05-13 15:33:06 +08:00
@seoguess
bind_ip 限制的是服务端的 ip,实际效果就是你说明的那样
想对客户端 ip 进行限制的话,只能使用 iptables、或 firewall 这类的工具
seoguess
2019-05-13 23:51:54 +08:00
@WordTian 原来如此,我理解错用法了。非常感谢!
nicolas0caser
2019-05-14 16:22:17 +08:00
@seoguess 同#1,bind_ip 设置 mongodb 监听的 ip 地址; iptables 对入网或出网做过滤.
seoguess
2019-05-14 22:57:49 +08:00
@nicolas0caser 收到,谢谢你!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/563201

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX