这是一个创建于 3031 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天跟 DB 讨论安全相关问题, 说到 redis mongodb 不用开启用户密码验证, 若开启了会有很大的性能损耗。 还说所有大公司、业界都是这样处理的。 所有发上来问问大家是不是这样?
 |
1
lijinma 2016-07-27 10:24:29 +08:00
一般不开启,如果开启每次请求操作的时候都需要 auth ,一般靠网络或端口来限制访问。
|
 |
2
ivanchou 2016-07-27 10:27:07 +08:00
被头像吸引进来的,好难受。
|
 |
3
lecher 2016-07-27 10:27:17 +08:00 via Android
不是,敢不开密码就是作死。不是空密码 iptables 不开端口就没事了。不差这点校验密码的计算性能,大不了加服务器。
Redis 有过提权漏洞,就在 V2EX 就爆过 Redis 无密码,通过 Web 权限提权的 bug 。 乌云爆过不开 MongoDB 密码,拿到 Web 权限就去拖库的漏洞。 |
 |
4
nilai OP @lecher 我就是这样子告诉他们, 他们一上来就扯业界都是这样子做的。 现在的状态就是在服务器内网环境中 任意一台机器都能登陆上 redis mongodb 了。。
|
 |
5
huixia0010 2016-07-27 10:39:06 +08:00
@nilai 这还扯什么淡啊,内网谁都能上,公交车么,不加密码玩儿个蛋啊
|
 |
7
ChoateYao 2016-07-27 10:44:29 +08:00
我讲一个例子,内网服务器 Redis 没有开启授权验证,而且为了方便开发链接 Redis 也没有做端口 IP 限制。
某天某个开发下载了一个盗版软件,第二天服务器所有文件给删除了。 经查日志发现使用 Redis 在.ssh 文件夹中写入了公钥。 |
|
8
lecher 2016-07-27 12:54:45 +08:00 via Android
那就是偷懒了。
所谓业界不设密码的事情,不是为了追求性能,现在被曝得多了,都严格审查权限设置密码了。 这有个 Redis 注入 .ssh 获取登录权限的分析 http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/ 不想设也无所谓,风险说清楚,到时候该谁的责任别推卸也无所谓。 |
 |
9
wolegequ 2016-07-27 13:02:46 +08:00 via Android
服务器内网有访问权限吗
|
 |
10
ygjack 2017-09-13 09:58:05 +08:00
好喜欢这个头像啊
|
Select Language