我知道27017是mongodb的标准端口号,但设置mongo服务器的每个人通常会将其更改为某个随机端口号吗?使用标准端口号是否存在任何安全问题?
答案 0 :(得分:2)
虽然这是 - 严格来说 - 不是编程相关的问题而宁愿属于http://dba.stackexchange.com或http://www.serverfault.com,我会回答它,因为它可能对程序员有用。
将软件放在非标准端口上绝不会从概念上加强安全性。这是因为一个坚定的攻击者(我不会谈论脚本小子)无论如何都会在网络的机器上进行隐藏的端口扫描。由于大多数服务器都能识别他们是谁以及他们做了什么,因此攻击者很容易确定哪个软件正在哪个开放(也称为可到达)的机器端口上运行。实际上,有签名可用,将最重要软件(openssh,Apache httpd和MySQL)的各种版本的答案映射到所述软件版本的已知漏洞。
出于安全原因将软件放在非标准端口上没有帮助。这给网络和系统管理员带来了正确配置防火墙和系统服务的问题,从而增加了维护工作。
正如@senfo正确指出的那样,您应该使用防火墙来限制访问。 MongoDB为增强安全性而提供的措施包括authentication和authorization以及keyfiles。为了防止嗅探攻击,您可能希望使用stunnel之类的工具,或者重新编译计划用于SSL支持的MongoDB软件包。
因此,请保留所属的端口:their defaults。