开启 MongoDB 服务时不添加任何参数时,默认是没有权限验证的,而且可以远程访问数据库, 登录的 用户可以通过默认端口无需密码对数据库进行增、删、改、查等任意高危操作。
防护
- 为 MongoDB 添 加 认 证 : 1)MongoDB 启动时添加–auth参数
2)给 MongoDB 添加用户:use admin
#使用admin库db.addUser(“root”, “123456”) #添加用户名root密码 123456的用户db.auth(“root”,“123456”) #验证下是否添加成功,返回1说明成功
- 禁用HTTP和REST端口
MongoDB自身带有一个HTTP服务和并支持REST接口。在2.6以后这些接口默认是关闭的。mongoDB默认会使用默认端口监听web服务,一般不需要通过 web 方式进行远程管理,建议禁用。修改配置文件或在启动的时候选择-nohttpinterface 参数nohttpinterface=false
3、限制绑定IP启动时加入参数–bind_ip 127.0.0.1或在/etc/mongodb.conf 文件中添加以下内容:bind_ip = 127.0.0.1