The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

12.02.2015 21:31  Около 40 тысяч серверов MongoDB доступны без аутентификации

Группа немецких студентов выявила массовые проблемы с организацией доступа к СУБД MongoDB. В результате сканирования адресов всемирной сети было выявлено 39890 никак не защищённых публично доступных экземпляров MongoDB. В том числе открытой для любых запросов оказалась БД одной из крупных французских телекоммуникационных компаний, содержащая данные о примерно восьми миллионах абонентов.

Основной причиной проблем с безопасностью MongoDB являются ошибки в настройке СУБД, из-за которых обработчик запросов прикрепляется не к внутреннему адресу 127.0.0.1 (localhost), а ко всем сетевым интерфейсам, включая внешний, без надлежащего ограничения доступа. Администраторы необдуманно применяют настройки по умолчанию, не разобравшись в модели ограничения доступа. В частности, базовые настройки MongoDB подразумевают присоединение ко всем сетевым интерфейсам без задания параметров аутентификации. При этом модель использования MongoDB обычно подразумевает доступ к базе только с локального хоста, что даёт администраторам повод считать, что по умолчанию БД доступна только через интерфейс localhost, как принято для memcached и подобных NoSQL-систем.

  1. Главная ссылка к новости (http://cispa.saarland/index.ht...)
  2. OpenNews: Релиз документо-ориентированной СУБД MongoDB 2.6
  3. OpenNews: Разработчики MongoDB получили 150 млн долларов инвестиций
  4. OpenNews: Релиз документо-ориентированной СУБД MongoDB 2.4
  5. OpenNews: Релиз документо-ориентированной СУБД MongoDB 2.2
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mongodb
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, A.Stahl, 21:36, 12/02/2015 [ответить] [смотреть все]
  • +9 +/
    Ну это, всё-таки, скорее камень в огород админов, а не разработчиков.
     
     
  • 2.3, Аноним, 21:52, 12/02/2015 [^] [ответить] [смотреть все] [показать ветку]
  • +10 +/
    там кривой пример файла конфигурации.

    указано

    # bind_ip=127.0.0.1

    поэтому создаётся впечатление, что по дефолту привязывается к 127.0.0.1. Но чтобы привязать к 127.0.0.1 нужно раскомментировать строку.

     
     
  • 3.10, Аноним, 23:46, 12/02/2015 [^] [ответить] [смотреть все]
  • +9 +/
    Это не админы, это гуртовщики мыши.
     
  • 3.14, sdog, 00:30, 13/02/2015 [^] [ответить] [смотреть все]
  • +1 +/
    нда, а бревна то и не заметили
     
  • 3.18, Аноним, 06:01, 13/02/2015 [^] [ответить] [смотреть все]
  • +1 +/
    firewall - не, не слышали netstat -l -p - не, не слышали ... весь текст скрыт [показать]
     
     
  • 4.19, _KUL, 06:35, 13/02/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Нужно привыкать писать:
    ss -lp
     
     
  • 5.23, Аноним, 08:34, 13/02/2015 [^] [ответить] [смотреть все]  
  • +/
    уже давно привыкли
     
  • 5.30, PnDx, 10:48, 13/02/2015 [^] [ответить] [смотреть все]  
  • +5 +/
    Вот только Кузнецов - учёный, а не инженер админ И на удобочитаемость вывода ... весь текст скрыт [показать]
     
  • 5.42, эцсамое, 18:50, 13/02/2015 [^] [ответить] [смотреть все]  
  • +/
    поклон до земли тебе, мил человек!
     
  • 5.51, Ilya Indigo, 06:28, 14/02/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Тогда уже:
    ss -lpn
     
     
  • 6.57, Аноним, 18:55, 15/02/2015 [^] [ответить] [смотреть все]  
  • +/
    > Тогда уже:
    > ss -lpn

    А там есть ключик "сделать вывод читабельным"?

     
  • 5.56, Аноним, 18:54, 15/02/2015 [^] [ответить] [смотреть все]  
  • +/
    А почему вывод этой команды напоминает не таблицу, а кашу с запчастями ... весь текст скрыт [показать]
     
  • 4.33, SunXE, 11:27, 13/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Это конечно верно И то что мога из коробки стартует на всех интерфейсах и то, ч... весь текст скрыт [показать]
     
  • 3.52, torvn77, 21:15, 14/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Нет,камень в огород админов,так как то,что часть строки после является коммент... весь текст скрыт [показать]
     
     
  • 4.59, Аноним, 19:00, 15/02/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    У нормальных людей, в комментариях указываются значения настроек по умолчанию ... весь текст скрыт [показать]
     
  • 2.4, Аноним, 21:54, 12/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Вот типичный пример конфига https github com gchef mongodb-cookbook blob maste... весь текст скрыт [показать] [показать ветку]
     
  • 2.5, fi, 22:08, 12/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    И всё же эта ошибка компании разработчиков, а точнее релиз инженера, выпустил в ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Аноним, 05:16, 13/02/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    selinux - совершенно заслуженно.
     
     
  • 4.20, Ph0zzy, 07:29, 13/02/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    С чего это заслужено Ваше неумение пользоваться инструментом, не повод обвинять... весь текст скрыт [показать]
     
     
  • 5.22, Аноним, 07:56, 13/02/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    есть дофига мест где это не приемлимо К слову любимый Шигориным OpenVZ, там это... весь текст скрыт [показать]
     
     
  • 6.34, продавец_кирпичей, 11:47, 13/02/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну а нахрена вешать хост систему в инет И да, селинукс не виртуализируется до... весь текст скрыт [показать]
     
     
  • 7.37, Аноним, 12:31, 13/02/2015 [^] [ответить] [смотреть все]  
  • +/
    А контейнеры тоже не вешать в них тоже selinux не работает А что namespace д... весь текст скрыт [показать]
     
     
  • 8.64, Аноним, 19:10, 15/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Лучше не стоит По крайней мере, если безопасность более-менее важна В в реализ... весь текст скрыт [показать]
     
  • 2.7, all_glory_to_the_hypnotoad, 22:22, 12/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Это камень в огород всего сообщества монги Одни олигофрены совершенно не думают... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, YetAnotherOnanym, 11:16, 13/02/2015 [^] [ответить] [смотреть все]  
  • –3 +/
    А ты попробуй на работе просто сидеть и что-то читать Начальство особенно мелк... весь текст скрыт [показать]
     
     
  • 4.46, mickvav, 23:02, 13/02/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Меняйте контору уже, адназначна.
     
  • 4.50, all_glory_to_the_hypnotoad, 03:15, 14/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Такого практически нигде нет В какой-нибудь гнилой конторе начальству пофиг чем... весь текст скрыт [показать]
     
  • 1.2, SubGun, 21:44, 12/02/2015 [ответить] [смотреть все]  
  • +1 +/
    Да фиг с ним, что монга слушает 0.0.0.0. Как можно было ее наружу выставить?!
     
     
  • 2.24, Аноним, 08:53, 13/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    миллиарды виртуалок на копеешных впс-хостингах
     
     
  • 3.63, Аноним, 19:08, 15/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Внешние IP-адреса нынче не по копеечке, вообще-то ... весь текст скрыт [показать]
     
     
  • 4.65, grec, 16:46, 16/02/2015 [^] [ответить] [смотреть все]  
  • +/
    За 15 баксов в год можно найти впс с реальником и кучей ipv6 Реальники нынче д... весь текст скрыт [показать]
     
  • 1.8, Stax, 22:23, 12/02/2015 [ответить] [смотреть все]  
  • +/
    > 39890 никак не защищённых публично доступных экземпляров MongoDB

    И после этого нам говорят, что не хватает IP-адресов. Как-то их плохо не хватает, если столько народу не парится и дает внешний адрес даже Mongo-серверу...

     
     
  • 2.11, Ан, 23:52, 12/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Как будто Mongo-сервер может один стоять на железке.
     
     
  • 3.36, Stax, 12:29, 13/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Если нагрузка не такая, чтобы нужна была отдельная железка, зачем вообще мог пон... весь текст скрыт [показать]
     
  • 2.28, Аноним, 10:47, 13/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Вы либо жирный троль, либо полный идиот Верно ... весь текст скрыт [показать] [показать ветку]
     
  • 2.55, ZiNk, 14:53, 15/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Как одно мешает другому Где-то не хватает, где-то хватает и люди пользуются По... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, Аноним, 23:34, 12/02/2015 [ответить] [смотреть все]  
  • +5 +/
    Тот редкий момент, когда чувствуешь себя не таким дураком С внешнего интерфей... весь текст скрыт [показать]
     
  • 1.15, Аноним, 02:48, 13/02/2015 [ответить] [смотреть все]  
  • +/
    Разумеется, это разрабы накосячили.
     
  • 1.16, anthonio, 04:09, 13/02/2015 [ответить] [смотреть все]  
  • +/
    > Администраторы необдуманно применяют настройки по умолчанию

    Боюсь, не совсем верно называть таких людей администраторами. Скорее localhost-админ. :)

     
     
  • 2.25, an, 09:15, 13/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    вы думаете на локалхосте у них все иначе, и таких позорных дыр нет сомневаюсь ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.58, Аноним, 18:58, 15/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Есть, просто их локалхост - неуловимый Джо Если поломают - то чем-то более масс... весь текст скрыт [показать]
     
  • 1.21, badmilkman, 07:53, 13/02/2015 [ответить] [смотреть все]  
  • +/
    И правда, только локалхостеры могут не знать 1 правило админа: никогда не никому не доверять, особенно начинающим программерам.
     
  • 1.26, softfire, 09:52, 13/02/2015 [ответить] [смотреть все]  
  • +/
    Для Хипстер-ДБ это нормальное явление.
     
  • 1.27, bav, 10:11, 13/02/2015 [ответить] [смотреть все]  
  • +/
    Хипсторы, такие хипсторы.
     
  • 1.29, edwin3d, 10:48, 13/02/2015 [ответить] [смотреть все]  
  • +3 +/
    Ну главная прелесть  Монги вообще-то как раз в том, что можно развернуть кластер ... а там loopback'ом не обойдешься
    А в целом - админов нет, на них экономят, кодеры фигарят код по принципу "х..к,х..к в продакшен" и потому архитектурой не заморачиваются ... нет бы выделить internal сервисы в отдельную сеть, или там брандмауэр настроить и т.д.  
     
  • 1.32, EuPhobos, 11:21, 13/02/2015 [ответить] [смотреть все]  
  • –3 +/
    Всё верно, разработчики отсеивают горе-недо-админов, каким нужно быть дебилом, ч... весь текст скрыт [показать]
     
     
  • 2.40, Аноним, 16:38, 13/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    К базе вообще не нужен публичный доступ.
     
  • 2.60, Аноним, 19:03, 15/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ага И ssh-сервер тоже должен по умолчанию пускать под root с пустым паролем Кт... весь текст скрыт [показать] [показать ветку]
     
  • 1.35, Xasd, 11:59, 13/02/2015 [ответить] [смотреть все]  
  • +/
    > Администраторы необдуманно применяют настройки
    > по умолчанию, не разобравшись в модели
    > ограничения доступа

    ну а "умные" разработчики программ -- не догадались сделать поумолчанию настройки -- безапасными..

     
     
  • 2.45, Аноним, 22:20, 13/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Защита - это не состояние, а процесс.
    Грамотность, кстати, тоже.
     
     
  • 3.49, Xasd, 00:34, 14/02/2015 [^] [ответить] [смотреть все]  
  • +/
    создание безопасных настроек уже поумолчанию -- часть этого процесса - про ... весь текст скрыт [показать]
     
     
  • 4.61, Аноним, 19:04, 15/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Не пытайтесь аппелировать к логике кричалки лозунгов Он умеет только баззворды ... весь текст скрыт [показать]
     
  • 1.38, badmilkman, 13:17, 13/02/2015 [ответить] [смотреть все]  
  • +/
    Интересно, кто-нибудь из ботнетчиков уже додумался использовать эту распределенную БД ?
     
  • 1.39, Аноним, 16:36, 13/02/2015 [ответить] [смотреть все]  
  • +/
    Следует ли эти утверждения понимать как доступ с localhost без аутенфикации ... весь текст скрыт [показать]
     
  • 1.41, Аноним, 17:11, 13/02/2015 [ответить] [смотреть все]  
  • +/
    Кстати, глянул в Archlinux с каким конфигом идёт пакет mongodb по умолчанию -- т... весь текст скрыт [показать]
     
     
  • 2.47, mickvav, 23:09, 13/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Даже вполне известно кто - Thomas Dziedzic


     
  • 1.43, Прохожий, 19:48, 13/02/2015 [ответить] [смотреть все]  
  • +/
    Разработчик != Администратор. Если вы не знаете что делать с отверткой - это не проблема завода-изготовителя инструмента.
     
     
  • 2.48, mickvav, 23:11, 13/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А если завод поставляет пассатижи и изоляционные ручки отдельно ... весь текст скрыт [показать] [показать ветку]
     
  • 1.44, Прохожий, 19:54, 13/02/2015 [ответить] [смотреть все]  
  • –3 +/
    Более правильное решение - предоставить чистые конфигурационные файлы Типичная ... весь текст скрыт [показать]
     
     
  • 2.62, Аноним, 19:06, 15/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Поттеринг-вей Он как раз всем втирает, что софт должен нормально запускаться с ... весь текст скрыт [показать] [показать ветку]
     
  • 1.53, Fantomas, 01:31, 15/02/2015 [ответить] [смотреть все]  
  • –1 +/
    Да все равно по этим монгам никто не лазит, можно и забить на безопастность
     
  • 1.54, Аноним, 08:05, 15/02/2015 [ответить] [смотреть все]  
  • +1 +/
    Конфигурационные файлы по умолчанию должны обеспечивать достаточный уровень безо... весь текст скрыт [показать]
     
  • 1.66, charon, 15:11, 19/02/2015 [ответить] [смотреть все]  
  • –1 +/
    буду оригинален - обвиню разрабов Монги.
    Я бывший админ, перешёл в девелоперы. Пытался перейти на Монгу в своих проектах - за 15 минут не вышло, потому что удалённо подключаться не выходит, ругается на ошибку доступа. Я повесил Монгу на 0.0.0.0, фаервол настроил - какого хрена еще надо?
    Никакой понятной доки нет. Как и в экзиме, есть толстый мануал размером с Новый Завет, и никакого быстрого гайда.
    Есть где-то гайд по быстрой настройке Монги, минут за 15, для простого удалённого доступа? Или местная публика неприемлет настройки за 15 минут.
     
     
  • 2.67, edwin3d, 15:24, 19/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > Я бывший админ, перешёл в девелоперы. Пытался перейти на Монгу в своих
    > проектах - за 15 минут не вышло, потому что удалённо подключаться
    > не выходит, ругается на ошибку доступа.

    Страшно представить, начни Вы разбираться с Oracle ...


    > Никакой понятной доки нет.

    Есть:
    http://docs.mongodb.org/manual/

    Есть литература, причем на русском:
    http://www.ozon.ru/context/detail/id/8688130/

    > Как и в экзиме, есть толстый мануал размером
    > с Новый Завет, и никакого быстрого гайда.

    Вы спутали свою профессию.
    Вы простите за грубость - кодер невысокого пошива

    > Есть где-то гайд по быстрой настройке Монги, минут за 15, для простого
    > удалённого доступа? Или местная публика неприемлет настройки за 15 минут.

    Берем стандартный Гуид, читаем quiq install - 10 мин.
    Создание ssh туннеля - 2 минуты.
    Если Вы администрировали сервера как разбирались в Mongo ...


     
     
  • 3.68, charon, 16:20, 19/02/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    а вы полностью оправдываете стереотипы о профессии админа - сплошное быкование и... весь текст скрыт [показать]
     
     
  • 4.69, edwin3d, 08:33, 20/02/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    Я не админ с 2011 Я проф разработчик, в т ч у меня есть проекты как раз с Mon... весь текст скрыт [показать]
     
     
  • 5.70, charon, 17:06, 20/02/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    И тут внезапно выясняется, что я прочитал Getting Started Да, уже давно Я уже ... весь текст скрыт [показать]
     
     
  • 6.71, edwin3d, 17:54, 20/02/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Вы продолжаете показывать свою низкую квалификацию Пробросить порт mongo и чере... весь текст скрыт [показать]
     
     
  • 7.72, Admin, 08:56, 11/03/2015 [^] [ответить] [смотреть все]  
  • +/
    > Пробросить порт mongo'и через ssh туннель - 2 минуты, чтобы локальное соединение
    > стало удаленным, НЕ разбираясь.

    А нафига!? Косяк 100 процентов разрабов. Если случилась такая ситуевина, значит подход разрабов кривой by design. По теме - кривые админы. кто в здравом уме БД выставляет голой жопой наружу?! Или я что то  пропустил и теперь пользователь сам делает выборку в БД?!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor