Mongodb

mongoaudit:通過默默無聞的安全性以及如何限制來自特定子網的連接?

  • March 2, 2017

我在伺服器上執行mongoaudit。這些是failed結果:

在此處輸入圖像描述

我不想隱藏我的版本號。在我看來,這是通過默默無聞的安全

在安全工程中,隱匿安全(或隱匿安全)是依賴設計或實現的機密性作為為系統或系統組件提供安全性的主要方法。依賴於模糊性的系統或組件可能存在理論上或實際的安全漏洞,但其所有者或設計者認為,如果不知道這些漏洞,這足以阻止成功的攻擊。安全專家早在 1851 年就拒絕了這種觀點,並建議不應該是唯一的安全機制。

其他 MongoDB 專家是做什麼的?

在此處輸入圖像描述

如何將網路列入白名單?我希望這樣做,但只知道net.bindIp. 這僅說明 mongod 在哪個虛擬網卡上偵聽。是否有限制子網的選項?

我不想隱藏我的版本號。在我看來,這是通過默默無聞的安全

隱藏版本細節不是通過默默無聞的安全,除非這是您依賴的主要安全措施。暴露的版本詳細資訊可以讓攻擊者輕鬆辨識已知的安全問題,而不必進行探測。強制攻擊者測試已知漏洞可能有助於入侵檢測系統檢測和處理明顯的惡意嘗試簽名。

如果您遵循其他最佳實踐(例如,限製網路暴露、積極應用安全更新、監控入侵嘗試),我會認為這是一個低風險。在您的 MongoDB 部署之前放置一個反向代理也可能會增加伺服器發現和故障轉移的不受歡迎的操作複雜性。

如何將網路列入白名單?我希望這樣做,但只知道 net.bindIp. 這僅說明 mongod 在哪個虛擬網卡上偵聽。是否有限制子網的選項?

正如您所指出的,MongoDB 的bindIP配置僅確定伺服器偵聽的 NIC IP 地址(而不是允許連接的客戶端 IP)。要限製網路暴露,您需要在作業系統和/或網路基礎設施級別(例如防火牆或 VPN)配置解決方案。

目前版本mongoaudit包含指向一些建議資源的連結,具體取決於託管 MongoDB 部署的位置:如何在 MongoDB 中配置允許的主機、防火牆、白名單和黑名單

有關更多資訊,另請參閱MongoDB 文件中的強化網路基礎設施安全檢查表。

引用自:https://dba.stackexchange.com/questions/164895