sql >> Database teknologi >  >> NoSQL >> MongoDB

MongoDB-serveren kan stadig tilgås uden legitimationsoplysninger

Autentificering forhindrer dig i at udføre handlinger på databasen (som dit skærmbillede viser - du kan ikke engang liste databaser), det forhindrer ikke forbindelser - du skal trods alt kunne oprette forbindelse for at kunne godkende.

Der er en funktionsanmodning om at tilføje timeouts, men indtil videre er det i det væsentlige, hvordan serveren er beregnet til at opføre sig.

Det er værd at bemærke, at indtil du prøver at gøre noget, er dette virkelig ikke anderledes end blot at oprette forbindelse til porten med telnet - den tekst, der vises i starten "opretter forbindelse til:" osv. er fra klienten, ikke serveren. Så snart den forsøger at gøre noget uautoriseret, selv liste serveradvarslerne, vises en fejl, fordi den ikke har tilstrækkelige tilladelser.

Hvis du vil låse ting fra et forbindelsesperspektiv, er den eneste mulighed fra et MongoDB-perspektiv at begrænse de IP-adresser, den lytter på (standard er alle) ved hjælp af bindIp mulighed. Bruger 127.0.0.1 ville låse det til f.eks. lokal brug (men du ville så ikke være i stand til at oprette forbindelse fra en fjernvært), hvilket gør replikering til et problem, så vær forsigtig, når du vælger din bundne adresse.

Uden for MongoDB bør du se på at låse ting ned fra et firewall-perspektiv. På Linux ville dette være IPTables, ufw, hosts.allow/deny eller lignende. Windows firewall er ikke mit ekspertiseområde, men jeg kan forestille mig, at du også kan gøre lignende der.



  1. Tæl resultater med MongoDB 3.0 Java Driver

  2. Hvorfor anbefales det ikke at bruge lagrede funktioner på serversiden i MongoDB?

  3. Find dokument med matrix, der indeholder en bestemt værdi

  4. Hvad er forskellen mellem id og _id i mongoose?