近日，广东省网络与信息安全通报中心通报，MongoDB数据库存在默认弱口令的严重风险隐患，极易造成数据泄露问题。

一、基本情况

MongoDB数据库默认存在一个admin数据库，且密码为空。同时，MongoDB数据库启动没有认证，admin数据库中admin、system、users用户都未添加时，不进行任何认证就可以做任何操作，直到在admin、system、users中添加了一个用户后，MongoDB数据库的认证和授权才生效。

通俗讲：新装mongodb默认是没有用户密码的，不需要密码就可以直接登录管理数据的。只有添加账户密码后，认证才生效。

二、安全操作

1、启动基于角色的登录认证功能，为admin数据库添加用户密码，并在数据库中添加新用户（需设置密码）启用有效认证功能；

注意：广大CKJSHOP客户请放心，我们的运维工程师在给您安装CKJSHOP时都给您配置了admin库的用户密码。

2、修改默认的MongoDB数据库端口号(默认端口号为：TCP 27017)为其他端口，修改完成后重启mongodb服务生效；

3、使用防火墙对访问源IP进行控制，如果仅对内网服务器提供服务，建议禁止将MongoDB数据库服务发布到互联网上，修改完成后重启mongodb服务生效；

4、使用bindIp选项，修改完成后重启mongodb服务生效，默认仅允许服务器本地访问；

以宝塔面板客户环境修改为例：

登录宝塔面板——》”软件管理“——》”运行环境“——》”MongoDB设置“——》”配置项“

（1）bindIp为启动mongodb服务监听的地址。

        默认是127.0.0.1，代表仅服务器本身可以连接mongodb数据库；

        如果修改成0.0.0.0，代表所有IP都可以连接这台mongodb服务器。

（2）Port为mongodb服务的端口，默认为27017。

以CKJSHOP为例：

假如您修改了mongodb的端口号，需要修改CKJSHOP以下内容：

（1）修改站点配置文件中连接mongodb的信息。CKJSHOP的站点配置文件为站点目录下common/config/main-local.php

（2）修改CKJSHOP_client的配置文件CKJSHOP_client.ini文件中连接mongodb的服务并重启CKJSHOP_client服务。

登录服务器执行pkill -9 CKJSHOP 或者 直接重启服务器

5、开启日志审计功能，修改完成后重启mongodb服务生效。（mongodb默认已经开启）