检测项 检测内容 加固方法 1、打开mongodb的配置文件:“vi /mongodb/bin/mongodb.conf”; 应设置mongodb的监听IP,未授权的IP禁止访问mongodb 2、例如只允许192.168.0.107可以访问mongodb,则加入:“bind_ip=192.168.0.107”,3、kill掉mongodb进程:“kill -2 PID” 4、再重新启动mongodb:“./mongod --config mongodb.conf”。 访问控制 1、打开mongodb的配置文件:“vi /mongodb/bin/mongodb.conf”; 应更改mongodb的默认端口,防止攻击者扫描到默认mongodb的默认端口直接利用 2、例如更改mongodb的端口为12345,加入:“port=12345”; 3、kill掉mongodb进程:“kill -2 PID” 4、再重新启动mongodb:“./mongod --config mongodb.conf”。 1、连接到mongodb服务:“./mongo”; 2、切换到admin数据库:“ use admin”; 3、添加一个用户,赋予该用户所有数据库的userAdmin权限:“db.createUser({user:\"admin\pwd:\"admin \应为mongodb添加用户,防身份鉴别 止未授权访问 4、打开mongodb的配置文件:“vi /mongodb/bin/mongodb.conf”; 5、启用认证功能:“auth=true” 6、kill掉mongodb进程:“kill -2 PID” 7、再重新启动mongodb:“./mongod --config mongodb.conf”。 (MongoDB 提供了很多内置角色,建议根据实roles:[ \"userAdminAnyDatabase\" ]})” 际需要为用户分配适当的角色) 1、打开mongodb的配置文件:“vi /mongodb/bin/mongodb.conf”; MongoDB 在 28017 端口提供 2、将HTTP服务禁用掉:一个 HTTP 服务,用于监视 HTTP端口 服务器的运行状态等信息,3、kill掉mongodb进程:“kill -2 PID” 建议关闭该服务 4、再重新启动mongodb:“./mongod --config mongodb.conf”。 使用命令更改mongodb配置文件的权限为建议mongodb配置文件的权0:“chmod 0 限为0 /mongodb/mongodb/bin/mongodb.conf” 文件权限 建议存放数据的目录的权限为600 建议mongodb日志文件的权限为0 使用命令修改data目录的权限为600:“chmod 600 /data/db/” 使用命令修改mongodb日志文件的权限为0:“chmod 600 /data/logs/mongodb.log” 1、加入防火墙规则: iptables -I INPUT -p tcp -s 192.168.0.107 应结合iptables,设置访问iptables配置 --dport 27017 -j ACCEPT IP,只允许授权的IP可以访2、保存新添加的规则:service iptables 问mongodb save 3、重启防火墙:service iptables restart “nohttpinterface=true”;
