到目前为止,我的服务器是一个开发环境。因此,MongoDb 中的身份验证已关闭。现在是时候投入生产了。我查找了如何进行身份验证。然而,考虑到以下情况:
- 不允许远程连接。我使用隧道来管理它。
- 将会有 4 个应用程序运行,全部由我们控制
- 我们有许多自动化数据库脚本可供部署
- 这是我们自己的服务器
除了给管理层带来好处之外,开启安全功能还有什么意义吗?尤其是考虑到:
- 我们将为每个应用创建一个用户
- 每个服务器都需要源代码中的密码才能连接到数据库
- 一些管理脚本会自动运行。因此,这些脚本也会包含密码
我想,到处寻找数据库密码可能会让入侵者的生活变得小的更难(他们需要弄清楚应用程序在哪里,这可能需要 10 分钟左右,而不仅仅是转储 mongo 的数据库)。但这真的是唯一真正的原因吗?