因为mongo默认是不开启auth校验的,如果在服务器上自己部署mongo,只要破解了服务器密码,就能直接访问mongo了,很不安全。
下面说2种简单却非常有用的防护措施。
1. 修改mongo监听的默认端口
在mongod.conf中修改 一般该文件存储在 /etc/mongod.conf
修改port为自己的端口,比如可以修改为 26028,修改完,重启mongo:
/usr/bin/mongod --dbpath=/var/lib/mongo --logpath=/var/log/mongodb/mongod.log --logappend --port=26028 --fork
注意:你的dbpath和logpath不一定和我的一致,需要换成你自己的目录
2. 开启auth校验,创建账号密码和对应的角色权限
2.1 创建一个超管账号(建议密码里不要用@这个特殊符号):
//给单个db添加角色账号
db.createUser({user:"wangzhongyang",pwd:"xxxxxx",roles:[{role:"dbOwner",db:"content"}]})
//给多个db库添加操作账号
db.createUser({user:"admin",pwd:"xxxxxx",roles:[{role:"dbOwner",db:"content"},{role:"dbOwner",db:"car"},{role:"dbOwner",db:"saler"},{role:"dbOwner",db:"test"},{role:"dbOwner",db:"ucenter"}]})
- 2
- 3
- 4
2.2 重新启动mongo,以验证auth的方式启动mongo
/usr/bin/mongod --dbpath=/var/lib/mongo --logpath=/var/log/mongodb/mongod.log --logappend --port=26028 --fork --nohttpinterface --auth
注意:–nohttpinterface 的作用是 关闭http接口,默认关闭27018端口访问
3. 衍生问题,如果之前mongo已经是启动状态,不能直接使用上述命令启动
需要先kill掉之前mongo的进程,操作方法如下:
3.1 使用 ps -ef 找到mongo的进程 找到进行的pid
3.2 使用 kill -9 mongo对应的pid 关闭进程
这时再次访问网站,已经给出了新的提示,不能正常访问了,说明mongo已经开启了auth校验。
Bootstrap Error 13–127.0.0.1:26028: not authorized on content to execute command { count: “comment_info”, query: { article_id: “25666”, status: 1 } }
4. 我们需要修改连接mongo的代码,使用账号密码进行auth校验,进行登录
public static function getClient($config, $master = false, $socketTimeoutMS = 5000) {
$server = $config->server;
$username = $config->username;
$password = $config->password;
$replicaSet = $config->replicaSet;
$readPreference = '';
if (!$master) {
//$readPreference = '?readPreference=nearest';
}
return $m = new MongoClient("mongodb://${username}:${password}@localhost", array("db" => "myDatabase"));
}
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
