关于MongoDB数据库存在 严重安全隐患预警通报

广东省网络与信息安全通报中心通报， MongoDB数据库存在默认弱口令的严重风险隐患，极易造成数据泄露问题。

一、基本情况

MongoDB数据库默认存在一个admin超级账号，且密码为空。同时，MongoDB数据库启动时添加了—auth参数，admin数据库中admin、system、users用户都未添加时，不进行任何认证就可以做任何操作(不管是否是以—auth 参数启动)，直到在admin、system、users中添加了一个用户后，MongoDB数据库的认证和授权才生效。

二、安全提醒

1、启动基于角色的登录认证功能，为admin用户添加密码，并在数据库中添加新用户（需设置密码）启用有效认证功能；

2、修改默认的MongoDB数据库端口号(默认端口号为：TCP 27017)为其他端口；

3、使用防火墙对访问源IP进行控制，如果仅对内网服务器提供服务，建议禁止将MongoDB数据库服务发布到互联网上；

4、使用- -bind_ip选项；

5、开启日志审计功能。

来源：广东省网络与信息安全通报中心