mongodb數(shù)據(jù)庫可不可靠

不懂mongodb數(shù)據(jù)庫可不可靠？其實想解決這個問題也不難，下面讓小編帶著大家一起學習怎么去解決，希望大家閱讀完這篇文章后大所收獲。

近年來，因頻頻發(fā)生的數(shù)據(jù)泄露和網(wǎng)絡安全事件，MongoDB成為行業(yè)關注的焦點?；诤唵蔚牟渴鸱绞健⒏咝У臄U展能力、多樣化的語言接口，并借助云計算的勢頭，MongoDB一度在全球數(shù)據(jù)庫市場占據(jù)第四名。但是，它的安全風險也不可小覷。

據(jù)InfoQ報道，有安全研究人員偶然發(fā)現(xiàn)一個沒有被很好保護的MongoDB數(shù)據(jù)庫服務器，整個實例包含854GB數(shù)據(jù)，共有202730434條記錄，主要是中國用戶簡歷，內(nèi)容非常詳細，包括姓名、家庭住址、電話號碼、電子郵件、婚姻狀況、政治關系等信息。

據(jù)Hacken Proof網(wǎng)絡風險研發(fā)主管Bob Diachenko 認為，這應該是服務器數(shù)據(jù)在線泄露。

它來自于一個被刪除的GitHub存儲庫，泄露的簡歷主要來源之一是bj.58.com，但數(shù)據(jù)是第三方泄露，并非官方泄露。

報道還指出，該安全研究人員上個月也曾發(fā)現(xiàn)一個類似的MongoDB服務器，暴露了超過6600萬條記錄，似乎最初來自LinkedIn。

在一篇名為《炙手可熱的MongoDB，安全嗎》中，作者指出MongoDB的三大安全問題。

一是默認配置安全問題。2016年爆發(fā)的MongoDB勒索事件，超33000個數(shù)據(jù)庫遭遇入侵勒索，原因就是在默認部署情況下，MongoDB無需身份驗證，即可登錄。

不法分子只要在互聯(lián)網(wǎng)上發(fā)現(xiàn)MongoDB的地址和端口就能通過工具直接訪問MongoDB，并擁有MongoDB全部權限。

作者進一步解釋，MongoDB默認通過最簡單部署方式，最大限度提高運行速度，以在虛擬機(低配機)上運行而定制的，并未充分考慮MongoDB的安全性。

其次，MongoDB官方文檔，如針對身份驗證，傳輸加密，網(wǎng)絡配置的文檔、指南并不規(guī)范，容易誤導MongoDB管理員。

最后是，一些MongoDB環(huán)境是為了單一項目或者是測試環(huán)境搭建，搭建者并不關心MongoDB的安全問題。

二是自身安全問題。根據(jù)CVE列表，MongoDB從2009年面世至今共發(fā)現(xiàn)13個漏洞，主要存在敏感數(shù)據(jù)泄露、越權操作和登錄調(diào)用的函數(shù)存在緩沖區(qū)溢出漏洞，會導致服務宕機問題。

三是Web安全問題。鑒于MongoDB的部署環(huán)境和使用領域，導致從Web向MongoDB發(fā)動的攻擊才是MongoDB面臨的最大威脅。這種攻擊主要分成兩類：Rest和CSRF聯(lián)合攻擊，注入攻擊。

如果仔細梳理，MongoDB一直是黑客熱衷攻擊的目標之一。2017年8月，三個黑客團伙劫持了MongoDB逾26000多臺服務器，其中規(guī)模最大的一組超過22000臺。

以后，這種網(wǎng)絡安全事件還會不斷發(fā)生。對組織來說，應該認識到正確保護第三方數(shù)據(jù)庫服務器的重要性。一方面，需要提高自身安全意識，另一方面，要采取一些措施，比如更換端口、公網(wǎng)屏蔽、權限控制等。

感謝你能夠認真閱讀完這篇文章，希望小編分享mongodb數(shù)據(jù)庫可不可靠內(nèi)容對大家有幫助，同時也希望大家多多支持億速云，關注億速云行業(yè)資訊頻道，遇到問題就找億速云，詳細的解決方法等著你來學習!