V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
nilai
V2EX  ›  问与答

redis mongodb 不用开启用户密码验证么?

  •  
  •   nilai · 2016-07-27 10:09:33 +08:00 · 3541 次点击
    这是一个创建于 3043 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天跟 DB 讨论安全相关问题, 说到 redis mongodb 不用开启用户密码验证, 若开启了会有很大的性能损耗。 还说所有大公司、业界都是这样处理的。 所有发上来问问大家是不是这样?
    10 条回复    2017-09-13 09:58:05 +08:00
    lijinma
        1
    lijinma  
       2016-07-27 10:24:29 +08:00
    一般不开启,如果开启每次请求操作的时候都需要 auth ,一般靠网络或端口来限制访问。
    ivanchou
        2
    ivanchou  
       2016-07-27 10:27:07 +08:00
    被头像吸引进来的,好难受。
    lecher
        3
    lecher  
       2016-07-27 10:27:17 +08:00 via Android
    不是,敢不开密码就是作死。不是空密码 iptables 不开端口就没事了。不差这点校验密码的计算性能,大不了加服务器。

    Redis 有过提权漏洞,就在 V2EX 就爆过 Redis 无密码,通过 Web 权限提权的 bug 。

    乌云爆过不开 MongoDB 密码,拿到 Web 权限就去拖库的漏洞。
    nilai
        4
    nilai  
    OP
       2016-07-27 10:31:51 +08:00
    @lecher 我就是这样子告诉他们, 他们一上来就扯业界都是这样子做的。 现在的状态就是在服务器内网环境中 任意一台机器都能登陆上 redis mongodb 了。。
    huixia0010
        5
    huixia0010  
       2016-07-27 10:39:06 +08:00
    @nilai 这还扯什么淡啊,内网谁都能上,公交车么,不加密码玩儿个蛋啊
    orvice
        6
    orvice  
       2016-07-27 10:41:07 +08:00
    @nilai 内网随便机器都能登录???

    我们有几台机器也是没有设置密码但是有限制 ip
    ChoateYao
        7
    ChoateYao  
       2016-07-27 10:44:29 +08:00
    我讲一个例子,内网服务器 Redis 没有开启授权验证,而且为了方便开发链接 Redis 也没有做端口 IP 限制。

    某天某个开发下载了一个盗版软件,第二天服务器所有文件给删除了。

    经查日志发现使用 Redis 在.ssh 文件夹中写入了公钥。
    lecher
        8
    lecher  
       2016-07-27 12:54:45 +08:00 via Android
    那就是偷懒了。
    所谓业界不设密码的事情,不是为了追求性能,现在被曝得多了,都严格审查权限设置密码了。

    这有个 Redis 注入 .ssh 获取登录权限的分析
    http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/

    不想设也无所谓,风险说清楚,到时候该谁的责任别推卸也无所谓。
    wolegequ
        9
    wolegequ  
       2016-07-27 13:02:46 +08:00 via Android
    服务器内网有访问权限吗
    ygjack
        10
    ygjack  
       2017-09-13 09:58:05 +08:00
    好喜欢这个头像啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1190 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 23:13 · PVG 07:13 · LAX 15:13 · JFK 18:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.