新部署的服务器,内网进行漏洞扫描发现了mongo无密码,那么要加下
1.mongodb配置文件修改
port=27017 #端口
dbpath= /root/soft/mongodb/db #数据库存文件存放目录
logpath= /root/soft/mongodb/log/mongodb.log #日志文件存放路径
logappend=true #使用追加的方式写日志
fork=true #以守护进程的方式运行,创建服务器进程
maxConns=100 #最大同时连接数
#noauth = true #不启用验证
journal=true #每次写入会记录一条操作日志(通过journal可以重新构造出写入的数据)。
#即使宕机,启动时wiredtiger会先将数据恢复到最近一次的checkpoint点,然后重放后续的journal日志来恢复。
storageEngine=wiredTiger #存储引擎有mmapv1、wiretiger、mongorocks
bind_ip = 0.0.0.0 #这样就可外部访问了,例如从win10中去连虚拟机中的MongoDB
auth = true #用户认证
auth=true
开启密码校验
重启mongo服务
进行mongo命令行
//使用admin数据库
use admin
//给admin数据库添加管理员用户名和密码,用户名和密码请自行设置
db.createUser({user:"mongoadmin",pwd:"123456",roles:["root"]})
//验证是否成功,返回1则代表成功
db.auth("mongoadmin", "123456")
//切换到要设置的数据库,以test为例
use test
//为test创建用户,用户名和密码请自行设置。
db.createUser({user: "mongodb", pwd: "123456", roles: [{ role: "dbOwner", db: "test" }]})
mongo和mysql不同的是,进入要一个账号,使用具体的库也是一个单独的账号。不能一招吃遍