一、我的一次MongoDB被黑經歷
近幾年,MongoDB應用越來越多,MongoDB也越來越火。
從2015年開始,MongoDB被一些「非法組織/黑客」盯上了。他們的做法也很簡單,連到你的數據庫上,把你的數據拿走,然後把你的庫清空,留一個消息給你,索要比特幣。
跟最近流行的勒贖病毒一個套路。
我在某個雲上有一臺服務器,主要用來做各種研究和測試,隨時可以格了重裝的那種。上面跑着一個MongoDB,是用默認的參數簡單啓動的一個單實例。
早上起來,跑程序測試時,程序直接報錯。
跟蹤代碼,發現是頭天寫進去的數據不見了。
進到數據庫,發現數據庫都在,但裏面的表全被清空了,多了一個Readme的表。查看這個表的內容:
> db.Readme.find().pretty()
{
"_id" : "5c18d077fd42b92d8f6271c3",
"BitCoin" : "3639hBBC8M7bwqWKj297Jc61pk9cUSKH5N",
"eMail" : "[email protected]",
"Exchange" : "https://localbitcoins.com",
"Solution" : "Your database is downloaded and backed up on our secured servers. To recover your lost data: Send 0.2 BTC to our BitCoin address and Contact us by eMail with your server IP address and a proof of Payment. Any eMail without your IP address and a proof of Payment will be ignored. Your are welcome!"
}
簡單來說,這是一個通知:你的數據被我們綁架了,想要贖回去,需要0.2個比特幣。
一身冷汗。如果這是一個生產環境,如果這是一個系統的運營數據,後果不堪設想。
究其原因,這個數據庫在啓動時,用了默認的參數,未加任何防護。
所以,
一定不要用默認的設置運行MongoDB數據庫!
一定不要用默認的設置運行MongoDB數據庫!
一定不要用默認的設置運行MongoDB數據庫!
二、安全實踐
1. 修改端口
MongoDB啓動時,使用了幾個默認的端口:
27017: 用於一般的單實例(mongod),或者集羣中路由服務器(mongos)
27018: 用於集羣中的分片服務器
27019: 用於集羣中的配置服務器
實際部署時可以把默認端口換成別的端口。
命令行:
$ ./mongod --port port_number
配置文件:
port=port_number
2. 綁定IP
這個要區分一下MongoDB的版本。
查詢MongoDB版本的命令:
$ ./mongod --version
在MongoDB Version 3.6之前,MongoDB啓動時默認綁定到服務器的所有IP上。換句話說,通過所有的IP都可以訪問數據庫,這兒的安全隱患在於外網IP。
在3.6之後,MongoDB啓動默認綁定127.0.0.1,從外網無法訪問,去掉了這個隱患。
設置綁定IP,命令行:
$ ./mongod --bind_ip your_ip #單IP綁定
或
$ ./mongod --bind_ip your_ip1,your_ip2 #多IP綁定
配置文件:
bind_ip=your_ip #單IP綁定
或
bind_ip=your_ip1,your_ip2 #多IP綁定
MongoDB還提供了一個一次綁定所有IP的參數。命令行:
$ ./mongod --bind_ip_all
配置文件:
bind_ip_all=true
另外,綁定時,your_ip也可以換成域名your_host,效果是一樣的。
在生產環境中,出於安全的需要,通常可以設置數據庫綁定到服務器的內網IP,供數據層操作數據庫就好。如果有特殊需要,可以臨時綁定到外網IP,操作完成後再去掉。
數據庫切換綁定IP和端口,對數據庫本身沒有任何影響。
3. 數據庫服務器內部身份認證
數據庫服務器的內部身份認證,是更高一個層次的安全策略,用於保證主從/複製集/集羣中各個數據庫服務器的安全合法接入。
內部身份認證,首先需要有一個數字密鑰。
數字密鑰可以使用機構簽發的證書來生成,也可以使用自生成的密鑰。
當然在低安全級別的情況下,你也可以隨手寫一個密鑰來使用。
自生成密鑰的生成命令:
$ openssl rand -base64 756 > path_to_keyfile
然後設置密鑰文件的讀寫權限:
$ chmod 400 path_to_keyfile
看一下密鑰文件:
$ ls -l
-rw-r--r-- 1 test test 1024 5 10 17:51 test.key
下面,爲數據庫啓用密鑰文件。命令行:
$ ./mongod --keyFile path_to_keyfile
配置文件:
keyFile=path_to_keyfile
注意:
-
內部認證用在多於一個服務器的情況,例如:主從/複製集/集羣上,做服務器之間的互相認證。單個服務器可做可不做,實際上無效。
-
內部認證要求認證的服務器使用相同的密鑰文件。也就是說,所有的服務器使用同一個密鑰文件。
-
密鑰文件有安全要求,文件權限必須是400,否則數據庫啓動時會有報錯。
4. 用戶和角色鑑權
MongoDB支持爲數據庫創建用戶和分配角色,用用戶和角色來管理和使用數據庫。
MongoDB創建用戶操作和上面不同。上邊的內容,是在數據庫運行以前進行,而創建用戶,是在數據庫運行以後。
$ ./mongo your_ip:your_port
> use admin
switched to db admin
> db.createUser({"user" : "user_name", "pwd" : "user_password","roles" : [{"role" : "userAdminAnyDatabase", "db" : "admin"}]})
Successfully added user: {
"user" : "user_name",
"roles" : [
{
"role" : "userAdminAnyDatabase",
"db" : "admin"
}
]
}
這樣我們就加入了一個用戶。
MongoDB內建的角色分以下幾類:
- 超級用戶:root
- 數據庫用戶角色:read、readWrite
- 數據庫管理角色:dbAdmin、dbOwner、userAdmin
- 集羣管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager
- 可操作所有數據庫角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
- 備份、恢復角色:backup、restore
角色不詳細解釋了,角色名稱的英文寫的很明白。
在實際操作中,通常會將用戶建在admin中,用roles裏的db來指定用戶可以使用或管理的數據庫名稱。
通過這一通操作,我們已經在數據庫中創建好了用戶。下面需要服務器啓用鑑權。
命令行:
./mongod --auth
配置文件:
auth=true
這個用於mongod啓動的數據庫。對於集羣的router,即mongos,會默認啓用auth,所以不需要顯式啓用。
當MongoDB啓用鑑權後,再用mongo客戶端連接數據庫,就需要輸入用戶帳號信息了。
$ ./mongo -u user_name -p user_password your_ip:your_port/admin
或
$ ./mongo -u user_name -p your_ip:your_port/admin #提示輸入密碼
同樣,在代碼中,數據庫連接串也同步變成了:
"MongoConnection": "mongodb://user_name:user_password@localhost:27017/admin?wtimeoutMS=2000"
三、總結
一般來說,做完上面的安全處理,就可以完全滿足生產環境的安全要求了。
再高的要求,可以通過啓用TLS來強化。