Mongodb空密码可连接安全性问题

最新推荐文章于 2024-08-27 04:36:54 发布
最新推荐文章于 2024-08-27 04:36:54 发布
阅读量3.9k 收藏 3
点赞数 2
分类专栏: 数据库 文章标签: 数据库 mongodb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Xu_programmer/article/details/116561078
版权

记一次踩坑,系统扫漏洞发现有一些空密码用户,test,web,admin等,但经过查询并没有发现这些用户。用navicat远程连接的时候,填好库名,不填写用户名和密码,测试也可以连通(但不会能查询和操作)。

后来查询到,mongodb默认是连接test库,但是没有认证是无法执行命令行的。

因为mongodb默认情况下,连接和和操作是不需要授权验证的,而且连接和身份认证不同,即使设置了认证,依然可以连接到库,只是无法操作和查看任何数据。

身份认证也就是每次操作时的du.auth('username','password')的操作。

为了保证安全问题

所以mongodb要设置身份认证,

启动mongodb服务要带上-auth命令,要求操作需要认证,也可以在mongod.conf文件里修改,很多相关的博客讲过。

绑定可连接的ip,可以修改端口号防止有人尝试性连接。

修改mongod.conf里的设置ip bind_ip=localhost,172.XXX.XXX.XXX,如果可以让任何人可以连接就设置成0.0.0.0。

设置防火墙,不让公网访问或者限制ip访问。

 

MongoDB报错ECONNREFUSED的连接配置问题
shejizuopin的博客
05-19 483
MongoDB报错ECONNREFUSED通常表示客户端无法连接MongoDB服务器,可能由多种原因引起。本文总结了常见错误原因及排查步骤:1) 检查MongoDB服务是否启动;2) 检查配置文件中的bindIp和端口设置;3) 检查防火墙或安全组规则是否阻止连接;4) 测试网络连通性;5) 验证认证信息是否正确。通过代码示例和错误对照表,开发者可以快速定位并解决问题。建议结合日志分析和测试脚本进行系统性排查,确保MongoDB服务的稳定运行,同时注意生产环境的安全配置。
datax到hive数据全部为空_使用DataX从mongodb导入到hive
weixin_39957934的博客
12-20 383
{"core": {"transport": {"channel": {"speed": {"record": -1,"byte": -1}}}},"job": {"content": [{"reader": {"name": "mysqlreader","parameter": {"username": "$username","password": "$password","query":"{...
十个提高MongoDB安全性的配置技巧
09-10
主要介绍了十个提高MongoDB安全性的配置技巧,需要的朋友可以参考下
mongodb 关闭空密码登录
weixin_40396124的博客
08-27 299
我整理的一些关于【数据库】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/bLN8S1关闭 MongoDB 空密码登录:安全性的重要性 MongoDB 是一种流行的 NoSQL 数据库,因其灵活性和性能而被广泛使用。然而,许多开发者在初学或部署 MongoDB 时,往往忽视了...
MongoDB连接安全
小北
01-28 8099
以前,在使用关系型数据库时,没有用户名和密码我们是能访问数据的。但是在MongDB中,默认需要使用用户名和密码就可以访问数据库,并且可以进行各种操作。这样是虽然利于初学者,但是很安全的。所以,今天说一下MongDB的连接安全问题。       首先,之所以能够使用用户名和密码就能连接,是因为我们在启动MongoDB服务的时候,没有设置权限认证。     1、用用户名和密码就能访问的
python连接MongoDB(无密码无认证)
weixin_30384217的博客
02-15 723
密码无认证下连接 from pymongo import MongoClient host = '127.0.0.1' # 你的ip地址 client = MongoClient(host, 27017) # 建立客户端对象 db = client.mydb # 连接mydb数据库,没有则自动创建 myset = db.testset # 使用test_set集合...
mongodb 重启_Yum安装mongodb并开启用户认证及远程登录
weixin_39670246的博客
11-28 142
Yum安装mongodb及开启用户认证远程登录1、 配置yum源这里我们以阿里云的源为例,内容如下:#Yum软件仓库唯一标识符[mongodb-org]#Yum软件仓库的名称描述name=MongoDB Repository#FTP(ftp://..)、HTTP(http://..)、本地(file:///..)baseurl=http://mirrors.aliyun.com/mongodb/y...
【Python实战】在阿里云服务器上安装MongoDB,并实现远程可视化连接
weixin_33691700的博客
06-04 790
本文涉及到的东西: 阿里云服务器ECS CentOs 7.4系统 MongoDB 3.6 由于自己学习和公众号后台开发项目需要(总能总在本地使用MongoDB开发吧,也得拉出来在实际生产环节中试试),在百度了很多方法来在阿里云服务器上安装MongoDB,效果都是很好,所以这次我又为大家踩坑,给大家梳理一下安装MongoDB的过程。 建议大家保存文章,或者收藏,以备日后之需。 此安装方法...
Node.js Mongodb 密码特殊字符 @的解决方法
12-23
在加强MongoDB安全性时,设置复杂密码是明智的选择,但同时需要注意这些复杂性可能带来的兼容性问题。上述两种解决方案可以帮助你在密码中包含特殊字符的情况下,仍能顺利连接MongoDB服务器。 在实际应用中,确保...
Mongodb 忘记密码的解决办法
12-16
本文将详细讲解如何解决 MongoDB 忘记密码问题。 首先,你需要通过编辑配置文件来暂时禁用身份验证。在大多数 Linux 系统中,MongoDB 的配置文件位于 `/etc/mongodb.conf`。打开这个文件,找到 `auth = true` 行...
mongodb 修改用户密码 2种方法
09-10
密码会被正确地处理并存储为哈希值,确保了安全性。 **方法二:使用`db.changeUserPassword`命令** `db.changeUserPassword`是专为修改用户密码设计的命令,它允许直接安全地更改用户的密码。例如: ```shell db...
MongoDB 连接
chunli5093的博客
05-19 141
以前,在使用关系型数据库时,没有用户名和密码我们是能访问数据的。但是在MongDB中,默认需要使用用户名和密码就可以访问数据库,并且可以进行各种操作。这样是虽然利于初学者,但是很安全的。所以,今天说一下MongDB的连接安全问题。 首先,之所以能够使用用户名和密码就能连...
mongodb设置远程连接
archer的技术故事
04-14 5543
本文主要介绍如何远程连接mongodb。如果还没有安装mongodb可以参考如下文章:https://blog.youkuaiyun.com/wild46cat/article/details/79455705好,下面上货。1、设置/etc/mongod.conf文件mongodb在默认情况下是允许远程连接的,需要在配置文件中进行配置vim /etc/mongod.conf注意里面的内容:net: po...
阿里云centos7安装mongodb,并开启远程连接
lilong329329的博客
12-18 841
1、下载mongodb 使用命令:curl -O https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-3.2.9.tgz 2.上传到服务器,我这里用的是阿里云的远程服务器,并解压和重命名 [root@iZuf60c96cgo48sizrvza6Z ~]# tar -zvxf mongodb-linux-x86_64-3.2.9.tgz -C ...
mongodb-用户名/密码
zhuchunyan_aijia的博客
05-09 2887
1. 需要登录的方式启动mongodbmongod --dbpath=/data/mongod/data -logpath=/data/mongod/log//mongodb.log -logappend -port=27017 -fork 2. 查看当前的库linux>mongo       >show dbs显示admin 和 local两个库3>建一个新的库 : zcyd...
MongoDB远程连接及注意事项
com_it的博客
11-30 1914
MongoDB的安全模式默认是关闭的,也就是需要账号密码就能访问数据库。在 默认情况下启动MongoDB是没有开启认证功能的,如果需要使用账号密码验证连接功能,就需要打开用户认证的开关。 这里使用robomongo工具举例: 1、创建一个连接 2、在开启认证模式之前先创建一个管理员账号,在客户端中创建myadmin角色 db.createUser( { us...
navcat连接mongodb报错[13][Unauthorized] command listDatabases requires authentication
weixin_43845519的博客
11-06 4201
navcat连接mongodb报错[13][Unauthorized] command listDatabases requires authentication: navcat连接mongodb报错 navcat连接mongodb的配置: : 原因分析: 应该加一个验证 解决方案: 这样配 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20201106165906389.png?x-oss-process=image/watermark,type_ZmF
navicat 连接 mongodb 报错[13][Unauthorized] command listDatabases requires authentication
潮汐未见潮落的博客
08-03 3698
navicat 连接 mongodb 报错[13][Unauthorized] command listDatabases requires authentication
mongodb 带账号密码连接
最新发布
03-27
### 使用用户名和密码连接MongoDB 的方法 为了实现通过用户名和密码安全地连接MongoDB 数据库,可以按照以下方式构建 Connection URI 并使用它来建立数据库连接。 以下是基于提供的引用以及标准实践的一个完整示例: #### 构建带有认证的 MongoDB 连接字符串 当需要提供用户名和密码时,MongoDB 支持一种特定格式的 URI 字符串用于身份验证。URI 格式的结构如下所示[^1]: `mongodb://<username>:<password>@<hostname>/<dbname>` 其中 `<username>` 是登录名,`<password>` 是对应的密码,而 `<hostname>` 则表示目标主机地址或 IP 地址,最后 `<dbname>` 表明要使用的具体数据库名称。 如果存在多个副本集成员或者分片集群,则可以在 hostname 部分指定多台服务器并用逗号隔开;另外还可以附加一些选项参数以进一步配置客户端行为,比如设置读偏好、写关注级别等等[^2]。 #### Java 中利用 Spring Data MongoDB 实现带账号密码连接 假如项目里已经引入了 Spring Boot 和其官方支持的数据访问框架——Spring Data MongoDB,在这种情况下可以通过 `application.properties` 文件定义上述提到的那种形式化的 connection string 来完成初始化工作[^3]。 下面是一个简单的例子展示如何在应用程序属性文件中声明这样的链接信息: ```properties spring.data.mongodb.uri=mongodb://myUser:myPass@mongo.example.com/myDatabase?authSource=admin&ssl=true ``` 这里需要注意的是增加了两个额外查询参数: - **authSource**: 定义执行用户授权操作所在的管理数据库,默认通常设为 admin; - **ssl**: 启用了 TLS/SSL 加密传输层保护机制。 对于更复杂的场景下可能还需要考虑其他因素如超时设定等细节处理。 #### Python 示例代码片段 (pymongo 库) 除了 Java 外部依赖之外,Python 社区也广泛采用 PyMongo 作为驱动程序之一来进行交互开发。下面是另一个关于怎样借助该工具包创建具备基本安全性保障条件下的会话实例演示: ```python from pymongo import MongoClient client = MongoClient('mongodb://myUser:myPass@mongo.example.com/myDatabase') db = client['myDatabase'] collection = db['testCollection'] document_count = collection.count_documents({}) print(f"Number of documents in testCollection: {document_count}") ``` 以上脚本展示了从远程受控资源获取集合对象之后简单统计文档数量的过程。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值