MongoDB

Lietuvos Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys (CERT-LT) įspėja apie pavojų, naudojant populiarią „NoSQL“ tipo duomenų bazių valdymo sistemą (DBVS) „MongoDB“.

Studentų grupė iš Saarland (Vokietija) universiteto išaiškino didelio masto problemą, organizuojant prieigą prie minėtos DBVS. Skenuodami visus įmanomus interneto protokolo (IP) adresus, jie nustatė 39 890 neapsaugotus „MongoDB“ egzempliorius, kurie prieinami iš išorės. Tarp jų buvo ir egzempliorius, priklausantis stambiai Prancūzijos telekomunikacijų bendrovei. Nurodytoje duomenų bazėje buvo talpinami duomenys apie 8 mln. abonentų.

Pagrindinė saugumo problema naudojant „MongoDB“ atsiranda dėl neteisingo konfigūravimo. Nemaža dalis „MongoDB“ paketų turi konfigūracinius failus, nustatančius, kad prieiga galima tik iš to paties kompiuterio (127.0.0.1). Kadangi dažniausiai DBVS veikia vienoje tarnybinėje stotyje, o taikomoji programa, naudojanti DBVS, veikia kitoje, administratoriai „MongoDB“ konfigūraciniame faile dažnai tiesiog užkomentuoja eilutę bindIp: 127.0.0.1 :

# bindIp: 127.0.0.1

Tokiu būdu įgalinama laisva prieiga prie DBVS (leidžiamas jungimasis naudojant visas tinklo sąsajas be autentifikavimo). Be papildomo konfigūravimo toks DBVS egzempliorius ir jame saugomi duomenys gali būti pasiekiami iš išorės (priklausomai nuo vietinio tinklo konfigūracijos).

CERT-LT rekomenduoja išsiaiškinti prieigos prie „MongoDB“ principą ir iš karto po „MongoDB“ įdiegimo atlikti reikiamus veiksmus ribojant neautorizuotą prieigą. Teisingo konfigūravimo žingsniai:

  1. Tinkamas mongodb.conf failo turinys. „Linux“ OS jis yra kataloge /etc/, „BSD“ šeimos OS – /usr/local/etc/.
  2. Apsaugojimas nuo neautorizuotos prieigos, kuris susideda iš priegos kontrolės (angl. Access Control) ir srauto šifravimo (angl. Traffic/Transport Encryption).

Daugiau informacijos:

http://cispa.saarland/wp-content/uploads/2015/02/MongoDB_documentation.pdf
http://www.circl.lu/pub/tr-32/
http://docs.mongodb.org/v2.6/MongoDB-security-guide.pdf

Visos rekomendacijos