MongoDB的安全“禁忌”合集摘要
由于MongoDB存在安全漏洞的”不应该发生”集合,我进行了摘要。
原文:http://blog.mongodb.org/post/87691901392/mongodb-security-part-ii-10-mistakes-that-can
中文翻译:http://blog.mongodb.org/post/87691901392/mongodb-security-part-ii-10-mistakes-that-can
摘要MongoDB安全“不要做”的集合。
将MongoDB服务器直接暴露在互联网上。
<如果需要,可以将防火墙放在里面,或者前面放置服务器。>
2. 不需要进行访问控制
MongoDB有着角色基础的访问控制。我们应该利用它来控制每个用户可以访问的数据库和操作。
3. 不使用SSL
请为 MongoDB 驱动程序的 mongod(s) 之间启用 SSL。
4. 不必要なインターフェースを公開する
如果不使用HTTP、REST和JSONP接口,就停止使用吧。
用户账户管理不严谨。
不论是否在2上启用访问控制,都不可以创建并使用具备无限制权限的用户。应当准确地赋予最少的权限。
6. 在操作系统中以高级用户权限运行
如果使用Linux,就不要用root运行mongod或mongos。
7. 不使用副本套件的密钥文件。
我们应该正确使用预付卡之间相互认证的密钥文件。
8. SSL的设置很差劲
3.でSSLを使ったとしても、オレオレ証明書などしょぼいSSLはダメ。
9. 没有备份措施的无保护状态
备份也应该拥有与原始文件相同的安全级别,因为备份文件本身可以很容易地进行恢复。
10. 对安全知识的了解不足
如果要存储机密情报,就在发布前阅读安全白皮书等安全文件。
所感
特に目新しいことは無く、「当たり前のことをちゃんやるように」と書いてあるように思えました。
また、当然全部やればよいというわけではなく、要件に照らし合わせることが必要でしょう。たとえば、VPNがあるのにSSLを使う必要はないです。他にも、MongoDBをキャッシュ層としてつかうのであれば、インターネットにさらすことが必須になる場合もあるでしょう。
此外,我认为可以添加一个选项来禁用JavaScript,以作为防注入措施。