writings.io 为不爱折腾的人打造的写作平台

@sophy 好的，不过暂时没时间，做好之后@你，或者你说哪个帐号我帮你直接删？

@chloerei 真假?我今天下午才注册...然后马上就出数据库泄漏? qiuai#vip.qq.com 帮我删除下账户吧.谢谢

@chloerei 恩，多谢！麻烦把 goxofy@foxmail.com 这个删掉，谢谢！

@chloerei

不就是个安全漏洞么，我挺你。

本来没账户，现在我就去注册个。

今天才注册的， 然后就泄漏了

@altchen 多谢，刚刚加了这些规则

iptables -A INPUT -p tcp -m multiport --destination-ports 22,25,80,443 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

不知道够了没有？之前还是太大意了，等到问题暴露才知道错误，好在V2EX的人发现问题会热心汇报。

欢迎发现漏洞的人跟我联系 chloerei@gmail.com，不过不要恶意利用啊。

@sophy
@qiuai 已经删除，抱歉给你造成麻烦。

@qsun 多谢

@chloerei 额，你误会了，我是有俩帐号，还有一个@tink.im的，之前忘了有注册，今天你发那个致歉邮件，结果我俩邮箱都收到了，才想起来之前还有一个~~~

@sophy 好的～没误会。如果没有这次事故，就不需要群发邮件，然后就不会让你发现注册多了个帐号，正好又没有提供删除帐号的功能，所以最终还是要抱歉的。

用 homebrew 还有 ubuntu 上 apt 安装 mongodb 默认都只监听本地 ip，@chloerei 你是自己安装的然后没有在 mongodb.conf 里配置 bind_ip 选项么？

@cyfdecyf 用 mongodb 官方的源装的，大概4个月前，里面没有 bind_ip 的配置。

虽然不需要但还是注册了一个帐号试用了一下，界面清爽大方，速度也不错，非常赞！

我正在写小说，感觉不错，试试

我比较习惯开头空两格……

@tioover 不要手打空格，有打算支持自定义样式，用 css 实现。

@chloerei 你被官方打包的默认配置给坑了，还好密码是用 bcrypt hash 的。

我 Mac 上用 homebrew 装的 mongodb 还是 1.8 版本的，之前其实也没注意过 bind_ip，不过好在默认配置成了只监听 loopback。

@cyfdecyf 对。刚才解压 ubuntu 的包和 10gen 的包来看，ubuntu 有 bind_ip，10gen 没有。两个打包方的角度不同了，发行版面对一般用户，要做到默认安全，数据库面对数据库管理员，默认管理员负责安全。

现在设了 iptables 了，禁用 22，80，443 以外的端口，避免出现类似漏洞。

单机不开放的服务用 Unix socket 比较好，很容易设置访问权限。

@chloerei nmap必须要的.

正在找类似服务。
小试了下，很好用。