V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Renco
V2EX  ›  程序员

spring 项目中数据库配置暴露,会有安全隐患嘛。同理用阿里的 canal 同步数据,也需要数据库账户密码等信息。这种的会不会存在安全隐患

  •  1
     
  •   Renco · 2021-03-17 17:50:44 +08:00 · 1359 次点击
    这是一个创建于 1107 天前的主题,其中的信息可能已经有所发展或是发生改变。

    因为基本上都是写业务对安全问题只基于最简单的配置密码。前段时间用 canal+ES 做数据的同步和搜索,结果被什么喵喵机器人给攻击了。ES 数据被破坏成乱码。这个原因是因为开放了 es 端口结果没设置密码导致的(因为是测试环境)。所以我想如果端口不开放的情况下,系统的安全问题还会存在吗。然后之前数据库开放了公网访问,也被人盗窃了数据。服务器都是部署在阿里云上的。

    对系统的安全和网络方向上不太了解。怎么样保证项目的安全性呢。有大佬可以大概科普下安全相关的概念么。感谢。

    9 条回复    2021-03-18 18:08:06 +08:00
    zoharSoul
        1
    zoharSoul  
       2021-03-17 17:52:40 +08:00
    完全没听懂你想表达什么...
    就说第一句, `spring 项目中数据库配置暴露,会有安全隐患嘛`.
    这个安全隐患指的是什么呢? 员工可以知道数据库配置了?
    boris93
        2
    boris93  
       2021-03-17 17:56:54 +08:00 via iPhone
    端口暴露到公网,还不设密码,就相当于脱了裤子喊“来日我啊”

    数据库账号和密码暴露到代码库,也就是说所有人都能看到,如果是生产库密码,而且生产库没有做访问控制,那么任何知道这个密码的人都能上生产库胡搞
    qinxi
        3
    qinxi  
       2021-03-17 17:56:56 +08:00
    qinxi
        4
    qinxi  
       2021-03-17 17:58:19 +08:00
    @qinxi #3 如果是本身弱密码 /无密码. 那跟项目没关系.
    Renco
        5
    Renco  
    OP
       2021-03-17 18:19:55 +08:00
    @zoharSoul 大概就是项目部署后,会不会存在数据库暴露的风险这样?
    Va1n3R
        6
    Va1n3R  
       2021-03-17 18:47:13 +08:00
    没必要开放端口的情况下最好别开,每天都有一大堆的人扫全球的服务,什么 es 、mysql 等都是重灾区。非要开放的话,做好权限控制防止被拿 shell 、IP 访问限制防止被暴力破解,还有无论什么服务,一定要强密码。
    Renco
        7
    Renco  
    OP
       2021-03-17 18:50:25 +08:00
    @Va1n3R 了解,那不开的端口会有安全隐患么
    huifer
        8
    huifer  
       2021-03-18 14:09:41 +08:00
    Va1n3R
        9
    Va1n3R  
       2021-03-18 18:08:06 +08:00
    @Renco 不开的端口可能会被 SSRF 攻击,比如说内网的 redis 之类的,或者攻击者通过某种方式进入你的内网,那里面就都是靶子了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3340 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 13:26 · PVG 21:26 · LAX 06:26 · JFK 09:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.