MongoDB: Ungeschützte Datenbanken absichern
Eine Liste mit Sicherheitsempfehlungen für Administratoren von MongoDB hat der Hersteller jetzt veröffentlicht.
Der Veröffentlichung ging eine Untersuchung von drei Studenten voraus, die rund 40.000 ungesicherte MongoDB-Datenbanken über das Internet identifizieren konnten. Darunter waren Datenbanken von teilweise großen Unternehmen, die Namen und Adressen, E-Mails und Kreditkartendaten ihrer Kunden speicherten. Die Administratoren der Datenbanken hatten offenbar grundlegende Sicherheitsmechanismen nicht aktiviert. Andere NoSQL-Datenbanken wie Redis und Cache-Server wie Memcached sind in ähnlicher Weise betroffen.
Die Offenheit der Systeme ist auf die Standard-Installation zurückzuführen: Die Mehrzahl der Distributionen installiert MongoDB so, dass Zugriffe nur vom lokalen System möglich sind. Dabei werden keine weiteren Beschränkungen wie beispielsweise die der Passwortsicherheit konfiguriert. Wird die Datenbank später auf einen eigenen Server verschoben und Zugriff von außen ohne weitere Konfiguration gestattet, so kann nicht nur der eigene Web-Server, sondern auch jeder andere auf die Daten zugreifen.
MongoDB härten
Empfehlungen zur Härtung und Sicherung eine MongoDB-Installation gibt es hier:Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.