开启 MongoDB 服务时不添加任何参数时,默认是没有权限验证的,而且可以远程访问数据库， 登录的 用户可以通过默认端口无需密码对数据库进行增、删、改、查等任意高危操作。

防护

1. 为 MongoDB 添 加 认 证 ： 1)MongoDB 启动时添加–auth参数

2)给 MongoDB 添加用户：use admin

#使用admin库db.addUser(“root”, “123456”) #添加用户名root密码 123456的用户db.auth(“root”,“123456”) #验证下是否添加成功，返回1说明成功

1. 禁用HTTP和REST端口

MongoDB自身带有一个HTTP服务和并支持REST接口。在2.6以后这些接口默认是关闭的。mongoDB默认会使用默认端口监听web服务，一般不需要通过 web 方式进行远程管理，建议禁用。修改配置文件或在启动的时候选择-nohttpinterface 参数nohttpinterface=false

3、限制绑定IP启动时加入参数–bind_ip 127.0.0.1或在/etc/mongodb.conf 文件中添加以下内容：bind_ip = 127.0.0.1