开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作而且可以远程访问数据库。
**2.**【修复建议】:临时方案:配置AUTH,做好访问认证。打开MongoDB配置文件(.conf),设置为auth=true;
修改访问端口和指定访问ip。使其只监听私有IP(或本地IP),不监听任何公网IP或DNS;
官方方案:具体可参考:https://docs.mongodb.com/manual/security/
具体解决方法:
# 方法一
只要在启动时加一个参数bind_ip即可
mongod --bind_ip 127.0.0.1,10.0.133.14
# 方法二
在/etc/mongodb.conf文件中添加以下内容:
bind_ip = 127.0.0.1,10.0.133.14
这样之后,MongoDB服务端只有127.0.0.1和10.0.133.14这两个 IP 可以访问了。