The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Около 40 тысяч серверов MongoDB доступны без аутентификации"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от opennews (ok) on 12-Фев-15, 21:36 
Группа немецких студентов выявили (http://cispa.saarland/wp-content/uploads/2015/02/MongoDB_doc...) массовые проблемы с организацией доступа к СУБД MongoDB. В результате сканирования адресов всемирной сети было выявлено 39890 никак не защищённых публично доступных экземпляров MongoDB. В том числе открытой для любых запросов оказалась БД одной из крупных французских телекоммуникационных компаний, содержащая данные о примерно восьми миллионах абонентах.


Основной причиной проблем с безопасностью MongoDB являются ошибки в настройке СУБД, из-за которых обработчик запросов прикрепляется не к внутреннему адресу 127.0.0.1 (localhost), а ко всем сетевым интерфейсам, включая внешний, без надлежащего ограничения доступа (http://docs.mongodb.org/manual/security/). Администраторы необдуманно применяют настройки по умолчанию, не разобравшись в модели организации ограничения доступа. В частности,  базовые настройки MongoDB  подразумевают (http://docs.mongodb.org/manual/core/security-network/) присоединение ко всем сетевым интерфейсам без задания (http://docs.mongodb.org/manual/administration/security-check.../) параметров аутентификации.

URL: http://cispa.saarland/index.html%3Fp=3068.html
Новость: http://www.opennet.dev/opennews/art.shtml?num=41661

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +9 +/
Сообщение от A.Stahl (ok) on 12-Фев-15, 21:36 
Ну это, всё-таки, скорее камень в огород админов, а не разработчиков.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +10 +/
Сообщение от Аноним (??) on 12-Фев-15, 21:52 
там кривой пример файла конфигурации.

указано

# bind_ip=127.0.0.1

поэтому создаётся впечатление, что по дефолту привязывается к 127.0.0.1. Но чтобы привязать к 127.0.0.1 нужно раскомментировать строку.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +9 +/
Сообщение от Аноним (??) on 12-Фев-15, 23:46 
Это не админы, это гуртовщики мыши.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

14. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +1 +/
Сообщение от sdog (ok) on 13-Фев-15, 00:30 
нда, а бревна то и не заметили
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

18. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +1 +/
Сообщение от Аноним (??) on 13-Фев-15, 06:01 
> там кривой пример файла конфигурации.
> указано
> # bind_ip=127.0.0.1
> поэтому создаётся впечатление, что по дефолту привязывается к 127.0.0.1. Но чтобы привязать
> к 127.0.0.1 нужно раскомментировать строку.

firewall - не, не слышали!

"netstat -l -p" - не, не слышали!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +2 +/
Сообщение от _KUL (ok) on 13-Фев-15, 06:35 
Нужно привыкать писать:
ss -lp
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Аноним (??) on 13-Фев-15, 08:34 
уже давно привыкли
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

30. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +5 +/
Сообщение от PnDx (ok) on 13-Фев-15, 10:48 
  Вот только Кузнецов - учёный, а не инженер/админ. И на удобочитаемость вывода положил изначально. А желающих помочь сделать съедобный CLI - что-то не наблюдаю. Ну, наверное, админы нынче через web мышью рулят (забыл, как там это решето зовут). </sarcasm>
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

42. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от эцсамое on 13-Фев-15, 18:50 
поклон до земли тебе, мил человек!
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

51. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +1 +/
Сообщение от Ilya Indigo (ok) on 14-Фев-15, 06:28 
Тогда уже:
ss -lpn
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

57. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Аноним (??) on 15-Фев-15, 18:55 
> Тогда уже:
> ss -lpn

А там есть ключик "сделать вывод читабельным"?

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

56. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Аноним (??) on 15-Фев-15, 18:54 
> Нужно привыкать писать:
> ss -lp

А почему вывод этой команды напоминает не таблицу, а кашу с запчастями?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

33. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от SunXE (ok) on 13-Фев-15, 11:27 
Это конечно верно. И то что мога из коробки стартует на всех интерфейсах и то, что админу было лень проверить, но какого художника в ней такая кривая система идентификации/авторизации?
Пользователя нужно создавать с паролем а не под админом сидеть.
Например постгрес вынуждает разбираться с безопастностью и я считаю это правильный подход.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

52. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от torvn77 (ok) on 14-Фев-15, 21:15 
Нет,камень в огород админов,так как то,что часть строки после # является комментарием и не обрабатывается является классикой и известно даже такому простому пользователю,как я.
При этом у меня вызывают затруднение случаи когда это символ не срабатывает или имеет другое значение.

Хотя соглашусь,авторам БД лучше бы делать конфиг по умолчанию только для работы с локалхостом.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

59. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +2 +/
Сообщение от Аноним (??) on 15-Фев-15, 19:00 
> Нет,камень в огород админов,так как то,что часть строки после # является комментарием
> и не обрабатывается является классикой и известно даже такому простому пользователю,как я.

У нормальных людей, в комментариях указываются значения настроек по умолчанию.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

4. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +2 +/
Сообщение от Аноним (??) on 12-Фев-15, 21:54 
> Ну это, всё-таки, скорее камень в огород админов, а не разработчиков.

Вот типичный пример конфига https://github.com/gchef/mongodb-cookbook/blob/master/templa...
про IP там ни слова, только номер порта задаётся.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +3 +/
Сообщение от fi (ok) on 12-Фев-15, 22:08 
И всё же эта ошибка компании разработчиков, а точнее релиз инженера, выпустил в продакшин с детской ошибкой.

А еще админы локолхоста дропают iptable и selinux для серверов с первых минут работы.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –2 +/
Сообщение от Аноним (??) on 13-Фев-15, 05:16 
selinux - совершенно заслуженно.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

20. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +1 +/
Сообщение от Ph0zzy (ok) on 13-Фев-15, 07:29 
С чего это заслужено? Ваше неумение пользоваться инструментом, не повод обвинять его в негодности.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –2 +/
Сообщение от Аноним (??) on 13-Фев-15, 07:56 
есть дофига мест где это не приемлимо. К слову любимый Шигориным OpenVZ, там это выключено на уровне конфига ядра.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

34. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –1 +/
Сообщение от продавец_кирпичей on 13-Фев-15, 11:47 
> есть дофига мест где это не приемлимо. К слову любимый Шигориным OpenVZ,
> там это выключено на уровне конфига ядра.

Ну а нахрена вешать хост систему в инет ?
И да, селинукс не виртуализируется до сих пор и никак (  немспейса селинукс по что не наблюдается ), господин заслуженнный аналитег опеннета.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

37. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Аноним (??) on 13-Фев-15, 12:31 
А контейнеры тоже не вешать? в них тоже selinux не работает :)
А что namespace для селинукса нету - так что ж - parallels мог бы и дописать, чай не 1 человек работает в этом проекте.

Хотя что там о дописывании. им бы свои баги by design починить :-)

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

64. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Аноним (??) on 15-Фев-15, 19:10 
> А контейнеры тоже не вешать? в них тоже selinux не работает :)

Лучше не стоит. По крайней мере, если безопасность более-менее важна. В в реализации UID namespaces уже давно и регулярно дыры находят. Сколько их там еще - тайна великая есть.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

7. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +5 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 12-Фев-15, 22:22 
Это камень в огород всего сообщества монги. Одни олигофрены совершенно не думают об эскплуатационной части, а другие вообще не озадачиваются чтением документации. Дураки нашли друг друга.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

31. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –3 +/
Сообщение от YetAnotherOnanym (ok) on 13-Фев-15, 11:16 
А ты попробуй на работе просто сидеть и что-то читать. Начальство (особенно мелкое, которому выслужиться надо) сразу объявит тебя бездельником, которому зря деньги платят.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

46. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +2 +/
Сообщение от mickvav on 13-Фев-15, 23:02 
Меняйте контору уже, адназначна.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

50. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 14-Фев-15, 03:15 
Такого практически нигде нет. В какой-нибудь гнилой конторе начальству пофиг чем занимается сотрудник, он обычно нанимается для галочки и получает гроши. Не в гнилой читают все сколько хотят, если конечно предполагается что сотрудник лютый джуниор и может много чего не знать.

Но пусть даже и так. Занимайся, млять, самообразованием в свободное от работы время - в конце концов это твоя личная проблема.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

2. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +1 +/
Сообщение от SubGun (ok) on 12-Фев-15, 21:44 
Да фиг с ним, что монга слушает 0.0.0.0. Как можно было ее наружу выставить?!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Аноним (??) on 13-Фев-15, 08:53 
миллиарды виртуалок на копеешных впс-хостингах
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

63. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Аноним (??) on 15-Фев-15, 19:08 
> миллиарды виртуалок на копеешных впс-хостингах

Внешние IP-адреса нынче не по копеечке, вообще-то.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

65. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от grec on 16-Фев-15, 16:46 
За 15 баксов в год можно найти впс с реальником и кучей ipv6 . Реальники нынче дороги для клиентов isp.
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

8. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Stax (ok) on 12-Фев-15, 22:23 
> 39890 никак не защищённых публично доступных экземпляров MongoDB

И после этого нам говорят, что не хватает IP-адресов. Как-то их плохо не хватает, если столько народу не парится и дает внешний адрес даже Mongo-серверу...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +1 +/
Сообщение от Ан (??) on 12-Фев-15, 23:52 
Как будто Mongo-сервер может один стоять на железке.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

36. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Stax (ok) on 13-Фев-15, 12:29 
Если нагрузка не такая, чтобы нужна была отдельная железка, зачем вообще мог понадобиться монго?
Ну ладно, предположим "на вырост". Все равно будет на отдельной виртуалке как минимум, даже если на железке еще что-то есть. И зачем туда внешний IP?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

28. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –1 +/
Сообщение от Аноним (??) on 13-Фев-15, 10:47 
>И после этого нам говорят, что не хватает IP-адресов. Как-то их плохо не хватает, если столько народу не парится и дает внешний адрес даже Mongo-серверу...

Вы либо жирный троль, либо полный идиот. Верно?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

55. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от ZiNk (ok) on 15-Фев-15, 14:53 
Как одно мешает другому? Где-то не хватает, где-то хватает и люди пользуются. Почитайте что-ли про распределение адресного пространства. А перед тем как перепрыгивать к любимому: "давайте раскулачим большие корпорации, а IP раздадим нуждающимся" - посмотрим на то что это поломает и каких усилий потребует. А IPv6 - он уже готов, стандарт есть, много где реализован, ждут как правило только мелкие провайдеры последней мили и китай-роутеры, ОСи готовы, серьёзная инфрастуктура - через пень колоду, но двигается туда, сервисы конечные тоже врубают поддержку и не страдают особо.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +5 +/
Сообщение от Аноним (??) on 12-Фев-15, 23:34 
Тот редкий момент, когда чувствуешь себя не таким дураком...
С внешнего интерфейса закрыть все кроме конкретно нужного - это же азы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Аноним (??) on 13-Фев-15, 02:48 
Разумеется, это разрабы накосячили.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от anthonio (ok) on 13-Фев-15, 04:09 
> Администраторы необдуманно применяют настройки по умолчанию

Боюсь, не совсем верно называть таких людей администраторами. Скорее localhost-админ. :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от an (??) on 13-Фев-15, 09:15 
вы думаете на локалхосте у них все иначе, и таких позорных дыр нет? сомневаюсь :)
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

58. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Аноним (??) on 15-Фев-15, 18:58 
> вы думаете на локалхосте у них все иначе, и таких позорных дыр нет? сомневаюсь :)

Есть, просто их локалхост - неуловимый Джо. Если поломают - то чем-то более массовым, типа ssh root:12345.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

21. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от badmilkman email(ok) on 13-Фев-15, 07:53 
И правда, только локалхостеры могут не знать 1 правило админа: никогда не никому не доверять, особенно начинающим программерам.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от softfire email on 13-Фев-15, 09:52 
Для Хипстер-ДБ это нормальное явление.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от bav (ok) on 13-Фев-15, 10:11 
Хипсторы, такие хипсторы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +3 +/
Сообщение от edwin3d email(ok) on 13-Фев-15, 10:48 
Ну главная прелесть  Монги вообще-то как раз в том, что можно развернуть кластер ... а там loopback'ом не обойдешься
А в целом - админов нет, на них экономят, кодеры фигарят код по принципу "х..к,х..к в продакшен" и потому архитектурой не заморачиваются ... нет бы выделить internal сервисы в отдельную сеть, или там брандмауэр настроить и т.д.  
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –3 +/
Сообщение от EuPhobos (ok) on 13-Фев-15, 11:21 
Всё верно, разработчики отсеивают горе-недо-админов, каким нужно быть дебилом, что бы в такой крупной компании не удосужиться и не настроить iptables на машине, которая имеет публичный адрес...
Я уже не говорю о невнимательности к конфигу самой BD и игнорирование аутентификации..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Аноним (??) on 13-Фев-15, 16:38 
К базе вообще не нужен публичный доступ.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

60. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Аноним (??) on 15-Фев-15, 19:03 
> Всё верно, разработчики отсеивают горе-недо-админов, каким нужно быть дeбилом, что бы в
> такой крупной компании не удосужиться и не настроить iptables на машине,
> которая имеет публичный адрес...

Ага. И ssh-сервер тоже должен по умолчанию пускать под root с пустым паролем. Кто не отключил в настройках - ССЗБ.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

35. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Xasd (ok) on 13-Фев-15, 11:59 
> Администраторы необдуманно применяют настройки
> по умолчанию, не разобравшись в модели
> ограничения доступа

ну а "умные" разработчики программ -- не догадались сделать поумолчанию настройки -- безапасными..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –2 +/
Сообщение от Аноним (??) on 13-Фев-15, 22:20 
Защита - это не состояние, а процесс.
Грамотность, кстати, тоже.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

49. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Xasd (ok) on 14-Фев-15, 00:34 
> Защита - это не состояние, а процесс.

создание безопасных настроек *уже* поумолчанию -- часть этого процесса. :-)

> Грамотность, кстати, тоже.

про грамотность -- иди пиши на гуманитарных форумах. здесь не интересно об этом болтать.

(можешь даже там [на гуманитарных форумах] выложить скан своего дневника с пятёрками по Русскому Языку :-))

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

61. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Аноним (??) on 15-Фев-15, 19:04 
> создание безопасных настроек *уже* поумолчанию -- часть этого процесса. :-)

Не пытайтесь аппелировать к логике кричалки лозунгов. Он умеет только баззворды заучивать, а потом декламировать. В смысл вникать - не обучен.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

38. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от badmilkman email(ok) on 13-Фев-15, 13:17 
Интересно, кто-нибудь из ботнетчиков уже додумался использовать эту распределенную БД ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Аноним (??) on 13-Фев-15, 16:36 
> никак не защищённых публично доступных экземпляров ...
> не к внутреннему адресу 127.0.0.1 (localhost), а ко всем сетевым интерфейсам, включая внешний, без надлежащего ограничения доступа. Администраторы необдуманно применяют настройки по умолчанию

Следует ли эти утверждения понимать как доступ с localhost без аутенфикации?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Аноним (??) on 13-Фев-15, 17:11 
Кстати, глянул в Archlinux с каким конфигом идёт пакет mongodb по умолчанию -- там кто-то подумал за таких горе-админов :)
https://projects.archlinux.org/svntogit/community.git/tree/t...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –1 +/
Сообщение от mickvav on 13-Фев-15, 23:09 
Даже вполне известно кто - Thomas Dziedzic


Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

43. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Прохожий (??) on 13-Фев-15, 19:48 
Разработчик != Администратор. Если вы не знаете что делать с отверткой - это не проблема завода-изготовителя инструмента.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от mickvav on 13-Фев-15, 23:11 
> Разработчик != Администратор. Если вы не знаете что делать с отверткой -
> это не проблема завода-изготовителя инструмента.

А если завод поставляет пассатижи и изоляционные ручки отдельно?

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

44. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –3 +/
Сообщение от Прохожий (??) on 13-Фев-15, 19:54 
Более правильное решение - предоставить чистые конфигурационные файлы. Типичная защита от дурака.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +1 +/
Сообщение от Аноним (??) on 15-Фев-15, 19:06 
> Более правильное решение - предоставить чистые конфигурационные файлы. Типичная защита от дурака.

Поттеринг-вей. Он как раз всем втирает, что софт должен нормально запускаться с пустым /etc.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

53. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –1 +/
Сообщение от Fantomas (??) on 15-Фев-15, 01:31 
Да все равно по этим монгам никто не лазит, можно и забить на безопастность
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +1 +/
Сообщение от Аноним (??) on 15-Фев-15, 08:05 
Конфигурационные файлы по умолчанию должны обеспечивать достаточный уровень безопасности, так что со стороны разработчиков это косяк. Админы тоже виноваты конечно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –1 +/
Сообщение от charon (ok) on 19-Фев-15, 15:11 
буду оригинален - обвиню разрабов Монги.
Я бывший админ, перешёл в девелоперы. Пытался перейти на Монгу в своих проектах - за 15 минут не вышло, потому что удалённо подключаться не выходит, ругается на ошибку доступа. Я повесил Монгу на 0.0.0.0, фаервол настроил - какого хрена еще надо?
Никакой понятной доки нет. Как и в экзиме, есть толстый мануал размером с Новый Завет, и никакого быстрого гайда.
Есть где-то гайд по быстрой настройке Монги, минут за 15, для простого удалённого доступа? Или местная публика неприемлет настройки за 15 минут.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

67. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –1 +/
Сообщение от edwin3d email(ok) on 19-Фев-15, 15:24 
> Я бывший админ, перешёл в девелоперы. Пытался перейти на Монгу в своих
> проектах - за 15 минут не вышло, потому что удалённо подключаться
> не выходит, ругается на ошибку доступа.

Страшно представить, начни Вы разбираться с Oracle ...


> Никакой понятной доки нет.

Есть:
http://docs.mongodb.org/manual/

Есть литература, причем на русском:
http://www.ozon.ru/context/detail/id/8688130/

> Как и в экзиме, есть толстый мануал размером
> с Новый Завет, и никакого быстрого гайда.

Вы спутали свою профессию.
Вы простите за грубость - кодер невысокого пошива

> Есть где-то гайд по быстрой настройке Монги, минут за 15, для простого
> удалённого доступа? Или местная публика неприемлет настройки за 15 минут.

Берем стандартный Гуид, читаем quiq install - 10 мин.
Создание ssh туннеля - 2 минуты.
Если Вы администрировали сервера как разбирались в Mongo ...


Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

68. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –2 +/
Сообщение от charon (ok) on 19-Фев-15, 16:20 
а вы полностью оправдываете стереотипы о профессии админа - сплошное быкование и тупые ответы.


>> Я бывший админ, перешёл в девелоперы. Пытался перейти на Монгу в своих
>> проектах - за 15 минут не вышло, потому что удалённо подключаться
>> не выходит, ругается на ошибку доступа.
> Страшно представить, начни Вы разбираться с Oracle ...

И причём здесь Оракл? Вы полагаете, что веб-девелоперы часто стаявт Оракл? Если не разбираетесь в моей профессии, то зачем пытаетесь тупо наезжать?

>> Никакой понятной доки нет.
> Есть:
> http://docs.mongodb.org/manual/

Это понятная дока? По 4 доки в 4 категориях, всего 16 документов. Ну очень полезный ответ, достойный классического админа.

> Есть литература, причем на русском:
> http://www.ozon.ru/context/detail/id/8688130/

394 страницы. Скажите, что именно вам объяснить во фразе "быстрая дока за 15 минут"? Может, вы какую-то букву не можете прочитать?

>> Есть где-то гайд по быстрой настройке Монги, минут за 15, для простого
>> удалённого доступа? Или местная публика неприемлет настройки за 15 минут.
> Берем стандартный Гуид, читаем quiq install - 10 мин.

Что такое стандартный Гуид?

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

69. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –2 +/
Сообщение от edwin3d email(ok) on 20-Фев-15, 08:33 
> а вы полностью оправдываете стереотипы о профессии админа - сплошное быкование и
> тупые ответы.

Я не админ с 2011.
Я проф. разработчик, в т.ч. у меня есть проекты как раз с Mongo, весьма большими БД в кластерах ... потому немного в тебе что такое Mongo.
то касается быкования и тупых ответов - ниже мы разберем что Вы из себя представляете

>>> Никакой понятной доки нет.
>> Есть:
>> http://docs.mongodb.org/manual/
> Это понятная дока? По 4 доки в 4 категориях, всего 16 документов.

Видимо глазенки не позволяют увидеть категорию Getting Started после прочтения которой уже можно использовать без проблем.
Даже средней руки быдлокодер способен прочитать и понять что означает "Getting Started", тамошний уровень написания ориентирован на невысокий уровень, практически - бери, делай.
Справиться любой человек, который знаком с MySQL на уровне "поставил, сделал select" ... кто хоть раз LAMP разворачиав, справиться.
Вас на это не хватило, гражданин ... уровень квалификации - каждый делает вывод сам.
Я могу сказать, что Ваш уровень - даже быдлосайты на WP Вам писать рановато.
Что Вы в прошлом администрировали - тоже не понятно, пока видно, что даже свой localhost для Вас сверх задача.

Теперь о профессии, гражданин якобы разработчик, Вы изволили открыть свой ротик что я де не понимаю.
Что Вы понимаете видно по неспособности осилить "Getting Started", но это мелочи ...
Расскажите ка нам тут, каким образом Вы себе представляете продуктивное использование системы, если не способны уделить внимание на прочтение основного массива док ?
Или Вы побежали ставить Mongo только потому, что услышали модное слово от заказчика или на сайте конкурента ?
А разницу между реляционными и документо-ориентированными БД Типа разработчик знает ?
В каких решениях применяется ? В чем недостатки/преимущества ?
А Вы в курсе, что надо менять ряд паттернов и т.д. ?

>> Есть литература, причем на русском:
>> http://www.ozon.ru/context/detail/id/8688130/
> 394 страницы. Скажите, что именно вам объяснить во фразе "быстрая дока за
> 15 минут"? Может, вы какую-то букву не можете прочитать?

Пока в роли неспособного выступаете Вы, гражданин якобы разработчик.
Т.к. в этой книге есть в самом начале традиционная для книг вещь "Организация материала", , и содержание, которое позволяет очень быстро понять, что надо в первые минуты.
Я понимаю, что чукча не читатель, но делать вид, что Вы не понимаете, что из этих 394 Вам не нужен основной массив страниц не надо.
Если бы Вы осилили прочтение содержания, то увидели, что развертывание описано в главе 10, которая занимает 30 небольших страниц формата A5, из которых половина посвящена рассуждениям о платформах и т.д.
На станице 313 якобы разработчик Вас знакомят с параметром bind_ip, а страницей позднее - авторизацией ...

>>> Есть где-то гайд по быстрой настройке Монги, минут за 15, для простого
>>> удалённого доступа? Или местная публика неприемлет настройки за 15 минут.
>> Берем стандартный Гуид, читаем quiq install - 10 мин.
> Что такое стандартный Гуид?

Который Вы не осилили (см. Выше). Якобы разработчик и якобы бывший админ.
Вам надо сменить ник "х..к, х..к - в продакшен".

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

70. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –1 +/
Сообщение от charon (ok) on 20-Фев-15, 17:06 
>>>> Никакой понятной доки нет.
>>> Есть:
>>> http://docs.mongodb.org/manual/
>> Это понятная дока? По 4 доки в 4 категориях, всего 16 документов.
> Видимо глазенки не позволяют увидеть категорию Getting Started после прочтения которой
> уже можно использовать без проблем.

И тут внезапно выясняется, что я прочитал Getting Started! Да, уже давно. Я уже даже как-то устал указывать, что меня интересует конкретный вопрос, который в Getting Started не раскрыт. После прочтения этого стартеда Монгу можно использовать только локально.

> Справиться любой человек, который знаком с MySQL на уровне "поставил, сделал select"
> ... кто хоть раз LAMP разворачиав, справиться.
> Вас на это не хватило, гражданин ... уровень квалификации - каждый делает
> вывод сам.

Да, я вот делаю вывод, что вы любите делать выводы без фактов. Просто надумали себе что-то и из этого выводы делаете.

> Я могу сказать, что Ваш уровень - даже быдлосайты на WP Вам
> писать рановато.

Это спорный вопрос. А вот то, что ваше хамство весьма неуместно на опеннет - это бесспорно. Система доказательств в ваших рассуждениях хотя и присутствует, но в весьма зачаточном состоянии. В основном - разбрасывание говна вокруг.

> Что Вы в прошлом администрировали - тоже не понятно, пока видно, что
> даже свой localhost для Вас сверх задача.

Как бы снова можно вставить ремарку о том, что я настраиваю Монгу на удалённое соединение, но зачем? Уровень edwin3d понятен.

> Расскажите ка нам тут, каким образом Вы себе представляете продуктивное использование системы,
> если не способны уделить внимание на прочтение основного массива док ?

Открою для вас внезапную тайну: для бытия успешным разработчиком прочтение 394 страниц книги по Монге совершенно необязательно. Как и полное чтение миллионов книг по внутреннему устройству Линукс. Работа с Монгой раскрывается в профильных книгах тех языков программирования, которые используют разработчики, а также в многочисленных статьях в Интернете. Этого абсолютно достаточно для 80% задач, а значит - принцип Парето.
Книгу прочитать можно, но у меня желание не возникло.
Я не смог найти статью по моему конкретному вопросу, принцип Парето не сработал и я спросил тут. И что же мы видим? Вместо ответа на вопрос, как на stackoverflow, обычное быкование стандартного россиянина. Я знал, что это национальная черта, но всё-же рискнул и прогадал.

На сём комментирование сего странного опуса мне надоело и я заканчиваю.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

71. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  –1 +/
Сообщение от edwin3d email(ok) on 20-Фев-15, 17:54 

> который в Getting Started не раскрыт. После прочтения этого стартеда Монгу
> можно использовать только локально.

Вы продолжаете показывать свою низкую квалификацию.
Пробросить порт mongo'и через ssh туннель - 2 минуты, чтобы локальное соединение стало удаленным, НЕ разбираясь.
Существуют также tcp wrapper'ы, - никаких проблем
Я Вам про ssh туннель говорил сообщение назад, Вы проигнорировали, видимо никогда не пользовались таким инструментом.
Все, можно использовать удаленно - не выставляя в паблик, для разработки, параллельно выясняя нюансы.
Факт непонимания фразы о ssh туннеле говорит о том, что администрированием серьезно не занимались. никогда.

> что ваше хамство весьма неуместно на опеннет - это бесспорно.

Оно станет неуместно, когда Вы перестанете раз за разом показывать смесь дилетантства и высоким самомнением.
Приведете себя в порядок гражданин якобы бывший админ и якобы разработчик, начнете задавать вопросы, а не поливать грязью в сочетании с неявным мычанием - никто и хамить не будет.

> и я спросил тут.

Вы не спросили, Вы начали брызгать слюной, поливая все грязью, при этом описывая проблему совсем никак -  описания ошибки нету и т.д.
Если Вы задачи вопрос как человек, Вы бы получили ответ в вежливой форме.

> И что же мы видим? Вместо ответа на вопрос, как на stackoverflow,

Какой вопрос - такой и ответ.
Вы получили несколько вариантов. Где искать, что делать.
Видеть их не желаете. Что касается формы - так вопрос задавайте как на stackoverflow, а не в стиле который Вы приписываете другим

> а мне надоело и я заканчиваю.

Я тоже. Воспитывать неквалифицированное тело, да еще и вавкой майданизма () нет никакого желания.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

72. "Около 40 тысяч серверов MongoDB доступны без аутентификации"  +/
Сообщение от Admin (??) on 11-Мрт-15, 08:56 
> Пробросить порт mongo'и через ssh туннель - 2 минуты, чтобы локальное соединение
> стало удаленным, НЕ разбираясь.

А нафига!? Косяк 100 процентов разрабов. Если случилась такая ситуевина, значит подход разрабов кривой by design. По теме - кривые админы. кто в здравом уме БД выставляет голой жопой наружу?! Или я что то  пропустил и теперь пользователь сам делает выборку в БД?!

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру