MongoDB 인증 모드 (password) 설정

티스토리 뷰

OS/리눅스&우분투

MongoDB 인증 모드 (password) 설정

kkd927 2018. 1. 31. 10:42

MongoDB를 설치하면 기본적으로 패스워드 없이 접속할 수 있습니다. 기본 설정이 MongoDB가 설치된 서버의 로컬(127.0.0.1)에서만 접근할 수 있지만, 외부 서비스와의 연동을 위해 외부 접근을 허용하면 크나큰 보안 위협에 놓이게 됩니다.

실제로 MongoDB의 이런 기본 설정 때문에 비밀번호 없이 외부 접근을 허용하는 전세계적으로 사용자들이 꽤나 존재했고, 2017년 1월에 이런 취약점을 노린 랜섬웨어가 발생했습니다. 물론 한국 서버들도 예외는 아니였습니다.

이번 공격은 관리자 암호가 설정되어 있지 않은 채 인터넷을 통해 접근이 가능하도록 설치되어 있는 몽고DB를 노리고 있다 - 보안 전문가인 빅터 거브스(Victor Gerves)와 니알 메리간(Niall Merrigan)

관련 기사 : 보안뉴스 - 급속도로 퍼지는 몽고DB 랜섬웨어 공격과 그 의미

MongoDB 설치 후 패스워드(인증 모드) 설정은 반드시 진행해야 합니다. 이제 MongoDB의 인증(Authentication) 모드 설정에 대해 살펴보겠습니다.

1. MongoDB Shell 접속

$ mongo
# MongoDB shell version v3.6.2
# connecting to: mongodb://127.0.0.1:27017

2. Administrator User 생성

MongoDB 2.7 이상

use admin
db.createUser({
    user: "<username>",
    pwd: "<password>",
    roles: [ "root" ]
})

MongoDB 2.4 이하

use admin
db.addUser({ 
    user: "<username>",
    pwd: "<password>",
    roles: [ "userAdminAnyDatabase" ] 
})

결과 예시

Successfully added user: {
    "user" : "<username>",
    "roles" : [
        {
            "role" : "userAdminAnyDatabase",
            "db" : "admin"
        }
    ]
}

3. MongoDB 재시작

$ mongod --auth --port 27017 --dbpath /data/db1

--port 와 --dbpath 는 옵션 값이며 미입력 시 위의 값이 default 입니다.

configuration 파일을 이용하는 경우

우분투의 apt-get 과 같은 패키지 매니저를 통해 설치한 경우 service mongod start 를 통해 시작합니다. 이 경우는 configuration 파일을 통해 실행이 됩니다. /etc/mongod.conf 를 다음과 같이 수정하고 재시작하시면 됩니다.

MongoDB 2.x

auth=true

MongoDB 3.x

security:
   authorization: enabled

우분투 예시

$ sudo service mongod start

4. 확인

재시작에 성공하였으면, 다시 mongo 쉘에 접속하여 정상적으로 인증이 되는지 확인을 해봅시다. 1 이 출력되면 성공한 것 입니다.

use admin
db.auth("<username>", "<password>" )

5. 데이터베이스 및 일반 사용자 생성

위에서 진행한 어드민 계정으로 mongo 쉘에 접속하여 봅시다.

mongo -u "<username>" -p "<password>" --authenticationDatabase "admin"

위 처럼 -u 와 -p 옵션 없이 접속하신 경우 4번에서 진행한 방법으로 인증하시면 됩니다. 이제 어플리케이션 단에서 사용할 데이터베이스를 생성해보고 일반 사용자를 생성해 봅시다.

use test_db
db.createUser({
    user: "<username>", 
    pwd: "<password>", 
    roles: ["dbOwner"]
})

use test_db 를 실행할때 해당 데이터베이스로 이동 할 뿐만아니라 DB가 존재하지 않을 경우 생성이 함께 진행됩니다. 더 다양하고 세분화된 role을 확인하시려면 MongoDB Built-In Roles을 확인하세요.

참고

https://docs.mongodb.com/manual/tutorial/enable-authentication/
https://docs.mongodb.com/manual/reference/configuration-options/#security.authorization
https://docs.mongodb.com/manual/reference/built-in-roles/

최근에 올라온 글

TAG more

글 보관함

Total

Today

Yesterday

덕's IT Story

티스토리 뷰