MongoDB安全基线

原创 于 2024-12-26 16:52:11 发布 · 1.1k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mongodb #安全 #数据库

MongoDB安全基线

1 确保为MongoDB数据库启用了身份验证

1.1 描述

此设置可确保所有客户端,用户和/或服务器都需要进行身份验证。在被授予访问MongoDB数据库之前。无法对客户端,用户和/或服务器进行身份验证可以启用对服务器的未授权访问MongoDB数据库可以防止跟踪操作返回其源。

1.2 加固建议

编辑MongoDB配置文件,在security区块下配置authorization: enabled

2 确保正确设置了密钥文件权限

2.1 描述

密钥文件用于分片群集中的身份验证。 在密钥文件上实现适当的文件权限将防止对其进行未经授权的访问。保护密钥文件可加强分片集群中的身份验证,并防止对MongoDB数据库的未授权访问。

2.2 加固建议

keyFile所有权设置为mongodb用户,并通过执行以下命令删除其他权限:

chmod 600 <keyfile_path>/keyfile
sudo chown mongodb:mongodb <keyfile_path>/keyfile

3 确保正确设置了数据库文件权限

3.1 描述

MongoDB数据库文件需要使用文件权限进行保护。这将限制未经授权的用户访问数据库。

3.2 加固建议

将数据库文件的所有权设置为mongodb用户,并使用以下命令删除其他权限:

chmod 600 /var/lib/mongodb
sudo chown mongodb:mongodb /var/lib/mongodb

以上命令为默认数据库文件路径,请根据实际环境修改为正确数据库文件路径。

4 确保在不需要时禁用服务器端脚本

4.1 描述

MongoDB支持为某些服务器端操作执行JavaScript代码:mapReducegroup$ where。 如果不使用这些操作,则应禁用服务器端脚本。 如果不需要服务器端脚本并且未禁用,则会带来不必要的风险,即攻击者可能会利用不安全的编码。

4.2 加固建议

编辑<conf_file>/mongod.conf文件中将security下的javascriptEnabled:设置为false以禁用它。

5 确保MongoDB仅侦听授权接口上的网络连接

5.1 描述

确保MongoDB在受信任的网络环境中运行涉及限制MongoDB实例侦听传入连接的网络接口。 MongoDB应删除任何不受信任的网络连接。 此配置阻止来自不受信任网络的连接,只允许授权和受信任网络上的系统尝试连接到MongoDB。 如果未配置,则可能导致从不受信任的网络到MongoDB的未授权连接。

5.2 加固建议

1、如果服务只允许本机访问,编辑MongoDB的配置文件<conf_path>/mongod.conf,在net区块下配置bindIp,将此项的值设置为:127.0.0.1(仅允许本机访问),并重启MongoDB服务。
2、如业务需要设置为跨服务器访问,可通过安全组配置访问规则,防止服务暴露到互联网上,然后忽略此项

6 确保使用非特权的专用服务帐户运行MongoDB

6.1 描述

MongoDB服务不应使用特权帐户(如“root”)运行,因为这会不必要地将操作系统暴露在高风险之下。 使用非特权专用服务帐户限制数据库访问MongoDB不需要的操作系统的关键区域。 这还将减少通过操作系统上受损的特权帐户进行未经授权访问的可能性。

6.2 加固建议

1.创建用于执行MongoDB数据库活动的专用用户。
2.将数据库数据文件,密钥文件和SSL私钥文件设置为只能读取 由mongod/mongos用户提供。
3.将日志文件设置为只能由mongod/mongos用户写入,并且只能由root读取。
4.切换至该专用用户,并重启MongoDB

7 确保MongoDB使用非默认端口

7.1 描述

更改MongoDB使用的端口使攻击者更难找到数据库并将其作为目标。 标准端口用于自动攻击,并由攻击者用于验证服务器上正在运行的应用程序。

7.2 加固建议

将MongoDB服务器的端口更改为27017以外的数字

8 确保日志记录捕获尽可能多的信息

8.1 描述

SystemLog.quiet选项停止记录信息,例如:
连接事件
身份验证事件
复制同步活动
运行一些可能有影响的命令的证据(例如:drop,dropIndexes,验证)应尽可能记录此信息。 此检查仅适用于Enterprise版本。
使用SystemLog.quiet可以解决问题并进行调查安全事件要困难得多。

8.2 加固建议

编辑<conf_file>/mongod.conf文件中将SystemLog下的quiet设置为False以禁用它。

9 确保将新条目附加到日志文件的末尾

9.1 描述

默认情况下,新的日志条目将在重新启动mongodMongols服务后覆盖旧条目。 启用systemLog.logAppend设置会导致新条目附加到日志文件的末尾,而不是在mongosmongod实例重新启动时覆盖日志的现有内容。 允许旧条目被新条目覆盖而不是将新条目附加到日志末尾可能会破坏出于各种目的所需的旧日志数据。

9.2 加固建议

编辑配置文件<conf_path>/mongod.confsystemLog下的logAppend设置为true

MongoDB安全配置
吴跃进的博客
04-20 1595
注:1、以Windows系统为例,且安装目录为:E:\mongodb;2、以下可执行命令是蓝色字体;3、需要同时打开两个cmd命令窗口,一个执行客户端命令,一个执行启动服务命令,且启动服务命令窗口不可以关闭。1、以命令的形式启动MongoDB打开cmd命令窗口进入到MongoDB的安装目录,bin文件下;执行如下命令(该命令窗口为服务端命令行窗口,不可关闭)mongod.exe --dbpath=...
MongoDB数据库安全配置规范
05-08
MongoDB数据库安全配置规范
MongoDB基本安全配置
[ A NPU WITH AN AUG ]
08-24 578
远程登陆MongoDB不加端口号登陆就是默认端口号:mongo ***.***.***.***限制访问IP和端口# 方法一 mongod --bind_ip 127.0.0.1 --port 28018# 方法二 在/etc/mongodb.conf文件中添加以下内容: bind_ip = 127.0.0.1 port = 28018设置用户名和密码# 启动mongodb时加上--auth mong
mongodb管理工具_升级啦!泰康云MongoDB基线版本升级到4.2
weixin_39961522的博客
12-05 272
MongoDB Server 3.6 版本生命周期将于2021年4月结束。MongoDB Server(以下简称MongoDB) 4.2 已于2019年8月23日发布,4.2 版本的重要新特性包括:分布式事务(Distributed Transactions)、字段级加密(Client Side Field Level Encryption)、通配符索引(Wildcard Indexin...
MongoDB】阿里基线合规、整改
weixin_43735309的博客
09-20 447
mongodb 阿里基线检查,如何排除,注册mongodb
安全基线
weixin_34162228的博客
03-31 393
http://www.e-gov.org.cn/wangluoanquan/news004/201408/151491.html
Sre-SOAM-010:mongoDB安全基线.docx
最新发布
09-16
MongoDB安全基线是指一系列用于保护MongoDB数据库系统免受非法访问和攻击的安全策略和配置。这些策略和配置基于安全最佳实践,适用于需要确保MongoDB数据库环境安全性的企业或组织。 1. 控制访问策略:设置允许访问...
MongoDB服务安全加固1
08-08
2.漏洞成因在刚安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息 3.漏洞自查如果您是MongoDB
Python-DBBASELINE数据库基线检查工具
08-10
文档为DB_BASELINE的使用说明和检测脚本编写规范, DB_BASELINE主要用于数据库的配置项的基线检查。 该文档主要描述了DB_BASELINE的使用方法以及检测脚本的编写规范, 编写规范检测脚本适用于后期导入SYSLOG,SOC等
oracle数据库基线检查.xlsx
07-31
1. 以Oracle用户登陆到系统中。 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。 3. 使用show parameter命令来检查参数REMOTE_LOGIN_PASSWORDFILE是否设置为NONE。 Show parameter REMOTE_LOGIN_PASSWORDFILE
mongodb数据库安全设置
x734400146的专栏
02-27 574
1.物理设备隔离 2.网络隔离 3.防火墙隔离 4.用户名密码隔离 默认情况下mongdb默认情况下未开启权限验证 有两种方法 1.auth=true 开启鉴权,但是未创建用户的话,仍然能链接 开启鉴权后得先创建用户。 角色类型 :内建类型:(read,readWrite,dbAdmin,dbOwner,userAdmin)
安全:Mysql安全建议。
孤芳不自赏
11-03 1010
安全:Mysql安全建议。
mongodb 安全配置
huryer的专栏
09-21 725
mongodb 安全配置 mongodb 启用权限认证 本文基于mongodb版本:3.4.7
数据库Mysql--基线检查(下)
qq_15794365的博客
06-29 2104
信息系统-风险评估,MySQL基线检查
数据库Mysql--基线检查(上)
qq_15794365的博客
06-29 2189
信息系统-风险评估,MySQL基线检查
mysql 基线检查_数据库基线检查工具DB_BASELINE
weixin_39677538的博客
02-27 329
介绍主要是没找到一款比较好的数据库基线检查工具DB_BASE 使用说明帮助信息 python db_baseline.py -hDB_BASELINE 检查规范根据查阅的资料和文档基线检查主要分为以下四类账号权限检查各个权限账号是否有过多的不必要的权限,检查数据库的文件的权限,是否只归属数据库账户所有,其他程序是否可读可写,网络连接主要用于检查数据库的端口,对外的开放的程度,连接的安全性等等...
mysql基线检查工具_DB_BASELINE:数据库基线检查工具
weixin_33814090的博客
01-19 1134
DB_BASELINE 使用说明和检测脚本编写规范 概述本文档为DB_BASELINE的使用说明和检测脚本编写规范, DB_BASELINE主要用于数据库的配置项的基线检查。 该文档主要描述了DB_BASELINE的使用方法以及检测脚本的编写规范, 编写规范检测脚本适用于后期导入SYSLOG,SOC等支持的数据库安装说明下载源码安装依赖pip install -r requirements.tx...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鸭梨山大。

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值