十个提高MongoDB安全性的配置技巧
“慢腾腾”通过精心收集,向本站投稿了4篇十个提高MongoDB安全性的配置技巧,下面是小编整理后的十个提高MongoDB安全性的配置技巧,希望对大家有所帮助。
篇1:十个提高MongoDB安全性的配置技巧
这篇文章主要介绍了十个提高MongoDB安全性的配置技巧,需要的朋友可以参考下
MongoDB提供了一系列组件来提升数据的安全性,数据安全在MongoDB中是最重要的――因此它利用这些组件来减少曝光面。下面是10个可以用来改善你个人或云中MongoDB服务器安全的小提示。
1. 启用auth-即使在可信赖网络中部署MongoDB服务器时启用auth也是项好的安全实践。当你的网络受攻击时它能够提供“深层防御”。编辑配置文件来启用auth。
代码如下:
auth = true
2.不要把生产环境的数据库暴 露在Internet上-限制对数据库的物理访问是安全性的非常重要的一个措施。如果没有必要,就不要把生产环境的数据库暴露在Internet上。如果 攻击者不能物理地连接到MongoDB服务器这种情形大打折扣,那么数据就不会比现在更安全。如果你把服务部署在亚马逊web服务(AWS)上,那么你应 当把数据库部署在虚拟私有云(VPC)的私有子网里。
3.使用防火墙-防火墙的使用可以限制允许哪些实体连接MongoDB服务器。最佳的措施就是仅仅允许你自己的应用服务器访 问数据库。如果你把无法部署在亚马逊web服务(AWS)上,你可以使用“安全组“功能限制访问权限。如果你把服务部署在不支持防火墙功能的提供商的主机 上,那么你可以亲自使用”iptables“对服务器进行简单的配置。请参考mongodb的文档,实现对你所面对的具体环境配置iptables。
4.使用key文件建立复制服务器集群-指定共享的key文件,启用复制集群的MongoDB实例之间的通信。如下给配置文件中增加keyfile参数。复制集群里的所有机器上的这个文件的内容必须相同。
代码如下:
keyFile = /srv/mongodb/keyfile
5.禁止HTTP状态接口- 默认情况下Mongodb在端口28017上运行http接口,以提供“主”状态页面,
在生产环境下推荐不要使用此接口,最好禁止这个接口。使用”nohttpinterface“配置设置可以禁止这个http接口。
代码如下:
nohttpinterface = true
6.禁止REST接口-在生产环境下建议不要启用MongoDB的REST接口。这个接口不支持任何认证。默认情况下这个接口是关闭的。如果你使用的”rest“配置选项打开了这个接口,那么你应该在生产系统中关闭它。
代码如下:
rest = false
7.配置bind_ip- 如果你的系统使用的多个网络接口,那么你可以使用”bind_ip"选项限制mongodb服务器只在与该配置项关联的接口上侦听。默认情况下mongoDB绑定所有的接口。
代码如下:
bind_ip = 10.10.0.25,10.10.0.26
8. 启用SSL- 如果你没有使用SSL,那么你在MongoDB客户端和MongoDB服务器之间的传输的数据就是明文的,容易受到 、篡改和“中间人”攻击。如果你是 通过像internet这样的非安全网络连接到MongoDB服务器,那么启用SSL就显得非常重要。
9.基于角色进行认证- MongoDB支持基于角色的认证,这样你就可以对每个用户可以执行的动作进行细粒度的控制。使用基于角色的认证组建可以限制对数据库的访问,而不是所有的用户都是管理员。更多的信息请参考有关角色的文档。
10.企业级MongoDB与kerberos- 企业级mongodb继承了kerberos认证。有关这方面的更多信息请参考mongodb文档。基于用户名/密码的系统本身就是不安全的,因此如果可能的话,请使用基于kerberos的认证。
篇2:提高网络安全性 安全配置交换机端口
交换机端口安全:交换机端口安全是通过对交换接接口的配置,来限定只允许特定的mac地址向交换机接口发送帧,如果交换机收到mac地址的帧,则丢弃来自该设备的帧,
基本配置命令:
switch(config)#int f0/0
switch(config-if)#switchport mode access /配置此接口为接入接口,不能是中继接口/
switch(config-if)#switchport port-security /启用端口安全/
switch(config-if)#switchport port-security mac-address mac /指定允许向这个接口内发送帧的mac地址,
多次使用此命令,可定义多个mac地址/
其它命令:
switch(config-if)#switchport port-security macaddress sticky /与上面命令功能一样。利用粘带学习,动态的获悉和配置当前已连接主机的mac地址/ switch(config-if)#switchport port-security maxinum /指定当前接口最多允许多少个mac地址,默认为一个/ switch(config-if)#switchport port-security violation {protect restrict shutdown} /规定在接收到来自规定地址之外某个mac地址帧时应该采取的动作,默认是关闭该端口/
switch#show port-security int f0/0 /查看接口安全的状态/
篇3:技巧放送:三招提高FTP服务器安全性
FTP是一种文件传输协议,有时我们把他形象的叫做“文件交流集中地”。FTP文件服务器的主要用途就是提供文件存储的空间,让用户可以上传或者下载所需要的文件。在企业中,往往会给客户提供一个特定的FTP空间,以方便跟可以进行一些大型文件的交流,如大到几百兆的设计图纸等等。同时,FTP还可以作为企业文件的备份服务器,如把数据库等关键应用在FTP服务器上实现异地备份等等。
可见,FTP服务器在企业中的应用是非常广泛的。真是因为其功能如此的强大,所以,很多 、病毒也开始“关注”他了。他们企图通过FTP服务器为跳板,作为他们传播木马、病毒的源头。同时,由于FTP服务器上存储着企业不少有价值的内容。在经济利益的诱惑下,FTP服务器也就成为了别人攻击的对象。
所以,FTP服务器的安全性工作也逐渐显得重要。笔者采用的FTP服务器是基于Linxu操作系统平台上的Vsftpd软件。笔者今天就以这个软件为例,谈谈如何若照FTP服务器的安全设计。
一、谁可以访问FTP服务器?
在考虑FTP服务器安全性工作的时候,第一步要考虑的就是谁可以访问FTP服务器。在Vsftpd服务器软件中,默认提供了三类用户。不同的用户对应着不同的权限与操作方式。
一类是Real帐户。这类用户是指在FTP服务上拥有帐号。当这类用户登录FTP服务器的时候,其默认的主目录就是其帐号命名的目录。但是,其还可以变更到其他目录中去。如系统的主目录等等。
第二类帐户实Guest用户。在FTP服务器中,我们往往会给不同的部门或者某个特定的用户设置一个帐户。但是,这个账户有个特点,就是其只能够访问自己的主目录。服务器通过这种方式来保障FTP服务上其他文件的安全性。这类帐户,在Vsftpd软件中就叫做Guest用户。拥有这类用户的帐户,只能够访问其主目录下的目录,而不得访问主目录以外的文件。
第三类帐户是Anonymous(匿名)用户,这也是我们通常所说的匿名访问。这类用户是指在FTP服务器中没有指定帐户,但是其仍然可以进行匿名访问某些公开的资源。
在组建FTP服务器的时候,我们就需要根据用户的类型,对用户进行归类。默认情况下,Vsftpd服务器会把建立的所有帐户都归属为Real用户。但是,这往往不符合企业安全的需要。因为这类用户不仅可以访问自己的主目录,而且,还可以访问其他用户的目录。这就给其他用户所在的空间 带来一定的安全隐患。所以,企业要根据实际情况,修改用户虽在的类别。
修改方法:
第一步:修改/etc/Vsftpd/vsftpd.conf文件。
默认情况下,只启用了Real与Anonymous两类用户。若我们需要启用Guest类用户的时候,就需要把这个选项启用。修改/etc/Vsftpd/vsftpd.conf文件,把其中的“chroot_list_enable=YES”这项前面的注释符号去掉。去掉之后,系统就会自动启用Real类型的帐户。
第二步:修改/etc/vsftpd.conf文件。
若要把某个FTP服务器的帐户归属为Guest帐户,则就需要在这个文件中添加用户。通常情况下,FTP服务器上没有这个文件,需要用户手工的创建。利用VI命令创建这个文件之后,就可以把已经建立的FTP帐户加入到这个文件中。如此的话,某个帐户就属于Real类型的用户了。他们登录到FTP服务器后,只能够访问自己的主目录,而不能够更改主目录。
第三步:重新启动FTP服务器。
按照上述步骤配置完成后,需要重新启动FTP服务器,其配置才能够生效。我们可以重新启动服务器,也可以直接利用Restart命令来重新启动FTP服务。
在对用户尽心分类的时候,笔者有几个善意的提醒。
一是尽量采用Guest类型的用户,而减少Real类行的用户。一般我们在建立FTP帐户的时候,用户只需要访问自己的主目录下的文件即可。当给某个用户的权限过大时,会对其他用户文件的安全产生威胁。
二是尽量不要采用匿名类型的帐户。因为他们在没有授权的情况下,就可以访问FTP服务器。虽然其访问的资源受到一定的限制,但是,仍然具有危险性,
故在没有特殊需要的情况下,最好把匿名类型帐户禁用掉。
二、哪些帐号不可以访问FTP服务器?
在以下几种情况下,我们要禁止这些账户访问FTP服务器,以提高服务器的安全。
一是某些系统帐户。如ROOT帐户。这个账户默认情况下是Linxu系统的管理员帐户,其对系统具有最高的操作与管理权限。若允许用户以这个账户为账户名进行登陆的话,则用户不但可以访问Linux系统的所有资源,而且,还好可以进行系统配置。这对于FTP服务器来说,显然危害很大。所以,往往不允许用户以这个Root等系统帐户身份登陆到FTP服务器上来。
第二类是一些临时账户。有时候我们出于临时需要,为开一些临时账户。如需要跟某个客户进行图纸上的交流,而图纸本身又比较大时,FTP服务器就是一个很好的图纸中转工具。在这种情况下,就需要为客户设立一个临时账户。这些账户用完之后,一般就加入到了黑名单。等到下次需要再次用到的时候,再启用他。
在vstftpd服务器中,要把某些用户加入到黑名单,也非常的简单。在Vsftpd软件中,有一个/etc/vsftpd.user_lise配置文件。这个文件就是用来指定哪些账户不能够登陆到这个服务器。我们利用vi命令查看这个文件,通常情况下,一些系统账户已经加入到了这个黑名单中。FTP服务器管理员要及时的把一些临时的或者不再使用的帐户加入到这个黑名单中。从而才可以保证未经授权的账户访问FTP服务器。在配置后,往往不需要重新启动FTP服务,配置就会生效。
不过,一般情况下,不会影响当前会话。也就是说,管理员在管理FTP服务器的时候,发现有一个非法账户登陆到了FTP服务器。此时,管理员马上把这个账户拉入黑名单。但是,因为这个账户已经连接到FTP服务器上,所以,其当前的会话不会受到影响。当其退出当前会话,下次再进行连接的时候,就不允许其登陆FTP服务器了。所以,若要及时的把该账户禁用掉的话,就需要在设置好黑名单后,手工的关掉当前的会话。
对于一些以后不再需要使用的帐户时,管理员不需要把他加入黑名单,而是直接删除用户为好。同时,在删除用户的时候,要记得把用户对应的主目录也一并删除。不然主目录越来越多,会增加管理员管理的工作量。在黑名单中,只保留那些将来可能利用的账户或者不是用作FTP服务器登陆的账户。这不但可以减少服务器管理的工作量,而且,还可以提高FTP服务器的安全性。
三、匿名账户也可以上传文件。
在系统默认配置下,匿名类型的用户只可以下载文件,而不能够上传文件。虽然这不是我们推荐的配置,但是,有时候出于一些特殊的需要,确实要开启这个功能。如笔者以前在企业中,利用这个功能实现了对用户终端文件进行备份的功能。为了设置的方便,就在FTP服务器上开启了匿名访问,并且允许匿名访问账户网某个特定的文件夹中上传某个文件。
若要让匿名用户上传文件,则首先要建立一个目录,并且把这个目录指定为匿名用户具有更新的权限。以后匿名用户需要上传文件的时候,只能够王这个文件夹中传。而不能够像Real用户那样,网其他用户的文件夹中上传文件。
文件目录设置好之后,再修改/etc/vsftpd/vsftpd.conf配置文件。把这个文件下的有关匿名账户的功能启用。默认情况下,跟匿名账户相关的功能,如更新、增加目录等功能都是被注释掉的。管理员需要把这个注释符号去掉,匿名账户才能够网特定的账户中上传文件。
笔者再次重申一遍,一般情况下,是不建议用户开启匿名账户的文件上传功能。因为很难保证匿名账户上传的文件中,不含有一些破坏性的程序,如病毒或者木马等等。有时候,虽然开启了这个功能,但是往往会在IP上进行限制。如只允许企业内部IP可以进行匿名访问并上传文件,其他账户则不行。如此的话,可以防止外部用户未经授权匿名访问企业的FTP服务器。若用户具有合法的账户,就可以在外网中登陆到FTP服务器上。
总之,在FTP服务器安全管理上,主要关注三个方面的问题。一是未经授权的用户不能往FTP空间上上传文件;二是用户不得访问未经授权的目录,以及对这些目录的文件进行更改,包括删除与上传;三是FTP服务器本身的稳定性。以上三个问题中的前两部分内容,都可以通过上面的三个方法有效的解决。相信管理员灵活采用如上的方法,可以在保障企业应用的前期下,提高FTP服务器的安全性。
篇4:多用快捷键 提高Office效率十个技巧
快速给文字加下划线
如果在Word文档中,有一段带有空格键的文本,而现在只想给该段文本中的文字加上下划线,并且忽略其中的空格,此时,请选中该段文本,然后按下“Ctrl+Shift+W”键就搞定了。
用特殊符号快速绘制分隔线
在用Word编辑文档时,时常会用到一些直线或是虚线作为文档的横向分隔线,常用的绘制方法是插入剪贴画中的水平线来实现,但这种方法太烦琐。其实在Word中可以利用一些特殊符号加回车键的办法来快速绘制常用的横向分隔线。
连续输入3个以上的“*”,再按回车键,则可以得到一条虚线;换成输入“=”,可以得到双直线;换成输入“~”, 可以得到一条波浪线;那么换成输入“#”的话,就能得到中间加粗的三直线。
一天不落输星期
怎样输入编号,大家应该不会陌生,但当我们想制作课程表或是备忘录等需要象输入编号一样依次输入星期的时候,一个一个地输入未免太浪费劳动力了。其实要偷懒也不难:在“格式”的“项目和编号”对话框里,选择“编号”选卡,然后进入“自定义”找到“编号格式”。
这时我们可以看到,Word允许我们输入A、B、C……;甲、乙、丙……;壹、贰、叁等编号样式,那么,试一试在“编号格式”里输入“星期一” 会出现什么效果。一次使用,终身受用。当我们再次打开“项目和编号”的编号选卡时,会发现星期一、星期二、星期三……的编号样式已经被保存了,如果我们还需要使用这个编号的时候,直接调用就可以了。
浓缩图标汇我世界
想要在Word中展现我们再熟悉不过的鼠标、键盘、摄像头吗?想要将一些生活味道很浓的物品搬上我们的屏幕吗?还是想让形象的警示标志为我们的文档增色?试试设置字体为Webdings和Wingdings,可以马上实现呦。但是一定要注意,要切换到非中文输入法状态下才能实现。
格式刷任我刷
格式刷的使用,朋友们一定不会陌生了,但是默认的情况下,点击一下格式刷只能使用一次。想要实现一次选中,任我狂刷吗?双击试试!只要能看到光标旁边的小刷子,想怎么刷,就怎么刷!而且,请“神”容易,送“神”也不难,Esc键帮你送“神”到家。
字体大小想变就变
如果能够享受自由,想必谁都不愿受限制,
在选中字体的情况下,一次次点击下拉箭头,一次次选择字号,真是不爽。要自由?试试“Ctrl+ Shift+>”和“Ctrl+Shift+<”吧,它可以突破最小5磅,最大72磅的限制,自由往来于1-1638磅之间,比孙大圣的金箍棒毫不逊色。
当然直接输入所需的字体大小也行,不过这个就不能很直观地比较究竟多大才合适。
快速转换英文字母大小写
在Word 2000以上版本中编辑文档时,如果需要将以前输入的英文单词或句子由小写转换为大写,或由大写转换为小写,遇到这种情况大家可能都是先将原来的单词或句子删除,然后用大写字母或小写字母重新输入一遍。
其实不用这么麻烦,只要把光标定位到句子或单词的字母中,然后同时按下“Shfit+F3”快捷键,此时如果原来的英文字母是小写的,就会先把句子或单词的第一个字母变为大写,再按一次快捷键,现在可以发现整个句子或单词的字母都变为大写了,再按一次就变回小写,每按一次快捷键字母的变化依此类推。
隐身文字自由切换
有没有这种体会,在编辑的文档中,需要对部分文字进行保密设置或是打印时需要略去部分内容不打。最常见的是在出试卷时,我们当然想要打印出来的只有题目而隐藏答案了。这样试试看:选中需要隐藏的文字,在“格式”菜单的“字体”中,将“隐藏文字”勾选上。看看是不是所选的文字已经隐去了?再将显示 /隐藏编辑标记请到工具栏上,这样就可以让文字来去自由切换了。
图片快速现原形
当我们进行图片、艺术字等编辑的时候,可能会进行反复地调整。但是,很可能调来整去,最后得到的还不如最初的令我们满意。这个时候,一次次使用 “撤销键入” 未免太折腾我们的老鼠了。如何快速让图片原形毕露呢?这个时候,只需在按住Ctrl键的同时,双击该图片,就一切OK了!
用“Alt+Enter”快速重输内容
在用Word编辑文稿时,常会遇到刚输入的文字或图画内容接着又要重复输入。此时用复制方法当然可行,但不够方便。其实,此时只要再同时按下 “Alt+Enter”组合键,那么刚才输入的内容会被自动重新输入一遍。若再按一下“Alt+Enter”组合键,将再次重复输入,非常快捷方便。
点击阅读更多学院相关文章>>
分享到
【十个提高MongoDB安全性的配置技巧】相关文章:
10.作文提高技巧方法总结
文档为doc格式
