一、概要

近日，業(yè)界報(bào)道有大量MongoDB數(shù)據(jù)庫(kù)暴露在互聯(lián)網(wǎng)上導(dǎo)致重要信息泄露，其主要原因?yàn)槲凑_設(shè)置數(shù)據(jù)庫(kù)訪問權(quán)限。在MongoDB數(shù)據(jù)庫(kù)啟動(dòng)時(shí)，如不修改數(shù)據(jù)庫(kù)認(rèn)證訪問權(quán)限方面的默認(rèn)配置，用戶則無(wú)需權(quán)限驗(yàn)證，通過默認(rèn)的服務(wù)端口可本地或遠(yuǎn)程訪問該數(shù)據(jù)庫(kù)并進(jìn)行任意操作。此類數(shù)據(jù)庫(kù)若暴露在互聯(lián)網(wǎng)上，將可能存在信息泄露的風(fēng)險(xiǎn)。

華為云提醒各位租戶，請(qǐng)您加強(qiáng)對(duì)MongoDB等數(shù)據(jù)庫(kù)的安全加固，保障數(shù)據(jù)安全。

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急。）

三、排查和處置方法

排查方法：

1. 檢查數(shù)據(jù)庫(kù)是否部署在互聯(lián)網(wǎng)邊界；

2. 檢查數(shù)據(jù)庫(kù)實(shí)例是否由root賬戶啟動(dòng)；

3. 庫(kù)實(shí)例是否具有訪問控制；

4. 檢查數(shù)據(jù)庫(kù)是否修改了默認(rèn)端口；

5. 檢查數(shù)據(jù)庫(kù)是否限制了終端訪問地址；

6. 檢查數(shù)據(jù)庫(kù)是否禁用HTTP接口；

7. 檢查數(shù)據(jù)庫(kù)是否禁用REST接口；

8. 檢查數(shù)據(jù)庫(kù)管理時(shí)是否啟用SSL協(xié)議；

9. 檢查數(shù)據(jù)庫(kù)用戶權(quán)限是否為最小授權(quán)；

10. 檢查數(shù)據(jù)庫(kù)是否啟用審計(jì)功能；

11. 集群復(fù)制時(shí)是否采用Keyfile訪問控制部署新副本集；

12. 檢查數(shù)據(jù)庫(kù)是否安裝了最新系統(tǒng)漏洞補(bǔ)丁包。

處置方案：

1. 數(shù)據(jù)庫(kù)與應(yīng)用平臺(tái)分開部署，不能部署在同一臺(tái)服務(wù)器上，且不能部署在互聯(lián)網(wǎng)邊界及DMZ區(qū)，數(shù)據(jù)庫(kù)應(yīng)部署在核心網(wǎng)段中，并在網(wǎng)絡(luò)層做好相應(yīng)的訪問控制策略；

2. 不要對(duì)MongoDB設(shè)置過多角色，普通用戶權(quán)限已經(jīng)滿足日常維護(hù)需求。另外，對(duì)以下文件要配置適應(yīng)的文件權(quán)限，如，只允許mongodb用戶自己進(jìn)行讀寫（1、數(shù)據(jù)文件；2、秘鑰、證書文件（只讀）、日志文件）;

3. 數(shù)據(jù)庫(kù)應(yīng)帶-auth參數(shù)啟動(dòng)；

4. 數(shù)據(jù)庫(kù)應(yīng)修改27017默認(rèn)端口；

5. 數(shù)據(jù)庫(kù)應(yīng)通過bind_ip來(lái)進(jìn)一步限制MongoDB會(huì)在哪一個(gè)網(wǎng)絡(luò)接口上監(jiān)聽；

6. 在業(yè)務(wù)不需要的情況下關(guān)閉HTTP接口；

7. 在業(yè)務(wù)不需要的情況下關(guān)閉REST接口；

8. MongoDB集群之間，以及從客戶端連接到MongoDB實(shí)例的連接應(yīng)該使用SSL，使用SSL對(duì)性能沒有影響，并且可以防范類似于man-in-the-middle的攻擊；

9. 為數(shù)據(jù)庫(kù)用戶分配合理的角色和權(quán)限，不建議（1、僅僅使用一個(gè)高權(quán)限用戶（如root）來(lái)執(zhí)行所有操作；2、給用戶分配不需要的權(quán)限；3、使用簡(jiǎn)單密碼或者多個(gè)賬號(hào)同用一個(gè)密碼；4、刪除數(shù)據(jù)庫(kù)后沒有刪除相應(yīng)的用戶）；

10. 啟用數(shù)據(jù)庫(kù)審計(jì)功能或采用第三方數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品對(duì)數(shù)據(jù)庫(kù)的操作進(jìn)行審計(jì)；

11. 使用KeyFile認(rèn)證，副本集中的每個(gè)MongoDB實(shí)例使用KeyFile內(nèi)容作為認(rèn)證其他成員的共享密碼，只有有正確的KeyFile的MongoDB實(shí)例可以加入副本集;

12. 關(guān)注數(shù)據(jù)庫(kù)漏洞情況，發(fā)現(xiàn)重大安全漏洞時(shí)及時(shí)更新補(bǔ)丁。

注意：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。