MongoDB二次勒索过后,如何加强数据库安全防范?

幸运草
幸运草
幸运草
1055
文章
3
评论
2021年11月25日10:29:22
评论
6

网络安全周 | 关于网络运维的那些事儿

关于此次展开的宣传周的活动,你知道哪些跟咱们运维息息相关吗? 无线安全靠什么保障? 在网络信息化建设高速发展的今天,企业员工虽已拥有由笔记本电脑、 PDA 及其他移动设备所带来的自由与方便,但他们还想拥有与企业网络更便捷的连接。因此,企业需要为其员工提供有线与…

是什么心理让各位Developer & DBAer 在发生了如此大的比特币勒索事件后,还是敢于裸奔?纵使觉得数据不重要、有备份,出于对安全的意识,是不是也应该使用一些安全保护措施呢?

 

注:裸奔在此处的解释为,使用默认端口27017,并对公网开放,未做任何防火墙措施,同时未开启认证和鉴权的MongoDB 数据库)

一、现状

此前我再次验证了目前的MongoDB 节点裸奔的情况,情况非常不容乐观。通过查看 SHODAN,我发现目前还有超过5W个节点的MongoDB 是在使用默认端口27017的,其中老美和中国占据半壁江山。

 

MongoDB二次勒索过后,如何加强数据库安全防范?

而在第一页中,我就看到一个裸奔的节点:

 

MongoDB二次勒索过后,如何加强数据库安全防范?

数据量并不大,为了验证节点的有效性,这里仅作为论证参考,不对该节点进行任何影响。

 

MongoDB二次勒索过后,如何加强数据库安全防范?

从图中,我们可以看到,这台机器显然并没有逃过hacker的攻击,当hacker们攻击了MongoDB的节点之后,会备份你的数据,并删除所有数据,同时会删除journal 日志,这样就算是 Enterprise 版本,也审计不到了。

 

hacker的攻击方式其实非常简单,可以简单分为以下几步:

 

  1. 通过类似SHODAN 这样的网站(诸如:ZoomEye等)提供的API,进行全网扫描,MongoDB 那就是扫描27017端口

  2. 获取到IP后,进行嗅探

  3. 如果可以获取到登录信息,那么运行脚本(备份全库、清理journal、留下打款账号信息)

  4. 具体的实现,这里不做过多描述,目的不是为了教学攻破MongoDB,而是为了给大家敲响警钟。

 

二、防范

 

通过以上,我们可以清楚地意识到只要做到基本的防范措施,不处于裸奔状态,黑客就不会那么轻易的进入我们DB中了。

 

需要强调的是,MongoDB官方给出一个默认不加密的配置,是为了方便developer的快速搭建环境,但并不意味着可以如此上线。

 

因此,在上线前,我们需要对照着MongoDB 官方给出的CheckList去校验一次。

 

Enable Access Control and Enforce Authentication

 

首先肯定是打开我们的authentication。打开方式非常简单:

 

  • 在admin数据库中,创建一个admin 用户

use admin

db.createUser(

 {

   user: "myUserAdmin",

   pwd: "abc123",

   roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]

 }

)

  • 在启动项中加入--auth,或者在配置文件中加入 security.authorization: enabled. 

    mongod --auth --port 27017 --dbpath /data/db1

  • 使用之前创建的myUserAdmin 用户登录mongo 

    mongo --port 27017 -u "myUserAdmin" -p "abc123" --authenticationDatabase "admin"

  • 在应用库中创建一个具有读写权限的应用账号。(注意:在MongoDB中,账号跟着数据库走,也就是说在哪个数据库下创建的,该账号就属于哪个库)

 

use test

db.createUser(

 {

   user: "myTester",

   pwd: "xyz123",

   roles: [ { role: "readWrite", db: "test" },

            { role: "read", db: "reporting" } ]

 }

)

Configure Role-Based Access Control

 

这里需要明确的是,MongoDB的基本安全分为两种:一种是认证,一种是鉴权。其实英语会说的比较明白点: authorization, authentication。

 

认证是作为用户登录的一种账号密码校验,类似MySQL 的 root/password ,在大部分应用中,一旦创建一个连接(用于连接池的),那么该连接只会做一次,所以大可不必担心因为认证而带来的开销。

 

鉴权是在数据库中的账号拥有的权限做鉴定,类似MySQL中的privilege。

 

Encrypt Communication

 

打开MongoDB 的TLS/SSl 的配置,社区版需要下载一个SSL版本,或者可以从社区版通过升级步骤升级到SSl版本,企业版自带SSL。

 

SSL 可以保证MongoDB的 所有连接(输入和输出的连接)都是加密的。

 

Encrypt and Protect Data

 

MongoDB 3.2 WT 引擎推出了一个新的加密功能,仅限企业版,可以对物理数据文件进行加密,若不打开,则默认通过系统对文件进行加密。

 

Limit Network Exposure

 

通过指定bindIp ,并在生产线上关闭MongoDB 的Http接口来达到规避网络进口的安全问题

 

Audit System Activity

 

MongoDB 企业版同时提供了审计功能,帮助用户更好的巡检自己的数据库。

 

Run MongoDB with a Dedicated User

 

使用MongoDB用户 启动MongoDB,而不是使用root 用户。

 

三、后续

 

希望大家在经过2次 MongoDB 的打劫后,都提高警惕了。把自己的生产节点都check 一遍。避免同样的悲剧在发生。

运维必须掌握的Linux面试题

1、解释下什么是GPL,GNU,自由软件?       GPL:(通用公共许可证):一种授权,任何人有权取得、修改、重新发布自由软件的权力。GNU:(革奴计划):目标是创建一套完全自由、开放的的操作系统。自由软件:是一种可以不受限制地自由使用、复制、研究、修改…

  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 加入Q群
  • QQ扫一扫
  • weinxin
幸运草
告诉你怎样处置WannaCry勒索病毒并恢复数据 劫持

告诉你怎样处置WannaCry勒索病毒并恢复数据

开发运维配置繁杂,是时候给应用架构做减法了   “Less is more”是路德维希·密斯·凡德罗在建筑领域提出的观点,近些年来,这一观点不断被用于生活中的其他领域。在软件开发世界中,也有对“Les...
勒索病毒泛滥全球 数据方舟拯救业务 劫持

勒索病毒泛滥全球 数据方舟拯救业务

5月12日起,不法分子利用之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件,全球范围内接二连三爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,危害极其严重,波及近百个国...

发表评论