背景
今天有个同事的项目中mongodb 被黑客攻占了,然后数据库被清掉,留下了一堆“案发现场”,还整了一个段话,附上给大家伙瞧瞧。。。。
排查出的问题就不说,说了丢人,我看这位同事的端口限制也是针对的几个ip连接,其余的漏洞都堵的差不多了,就写一下mongodb 的创建账户密码的过程吧,这个他没做,感觉也是光着屁股在裸奔,不过所幸让他们上线前执行了我的脚本,数据马上恢复过来了,没丢失。唉。
再一个为啥要写这个博客,因为我那同事搞了一下午都没搞定创建账户密码,我觉得还是自己写一下,记录一下,以免后面自己也记不清了。。。。
- 由于我们这个是宝塔安装的mongodb,所以进入宝塔的默认目录
1,进入宝塔的默认目录。
cd /www/server/mongodb/bin
2,进入mongodb环境
命令: mongo
3,进入 admin 数据库
命令: use admin
4, 设置admin 用户密码
db.createUser({user: 'root', pwd: 'pwr23', roles: ['root']})
5,验证刚刚创建的账户是否成功
db.auth('root', 'pwr23')
6,创建一个新的数据库 test
7,进入mongodb环境
命令: mongo
8,进入 admin 数据库
命令: use admin
9,创建一个用户,并且赋予权限,
db.createUser({ user: 'rootDev', pwd: 'wddmin23', roles: [{ role: 'root', db: 'admin' }] })