В начале года группа исследователей обратила внимание (https://www.opennet.me/opennews/art.shtml?num=41661) на наличие в сети около 40 тысяч серверов MongoDB, доступных для внешних запросов из-за проблем с настройкой аутентифицированного доступа. John Matherly, создатель поискового движка Shodan, спустя десять месяцев повторил (https://blog.shodan.io/its-still-the-data-stupid/) опыт и пришёл к выводу, что в сети до сих пор присутствует (https://www.shodan.io/report/nlrw9g59) около 35 тысяч незащищённых серверов MongoDB, общий размер данных на которых составляет 684.8 Тб.
Среди доступных для свободного доступа данных оказалось более 25 млн пользовательских аккаунтов различных приложений и сервисов. В том числе проблемы с настройкой доступа к MongoDB стали причиной утечки (https://krebsonsecurity.com/2015/12/13-million-mackeeper-use.../) параметров 13 миллионов пользователей программы MacKeeper, предназначенной для оптимизации OS X. Среди информации, которую можно получить через обращение к незащищённым серверам MongoDB, отмечаются приватные сообщения пользователей, персональные данные абонентов и хэши паролей. Большинство незащищённый экземпляров MongoDB размещены на облачных хостингах от Amazon, DigitalOcean и Alibaba.
Примечательно, что проведение аналогичного исследования в июле выявило лишь около 30 тысяч незащищённых серверов MongoDB и с тех пор число открытых БД MongoDB увеличилось. При этом наиболее популярной версией MongoDB среди незащищённых систем является 3.0.7, что вызывает удивление так как начиная с версии 3.0 MongoDB по умолчанию принимает только локальные запросы, прикрепляясь к "localhost". Т.е. для приёма запросов с внешних адресов требуется явное изменение конфигурации, ведущее к снижению безопасности. Судя по всему подобные незащищённые настройки могли стать следствием невнимательного обновления с ветки 2.x, в которой настройки по умолчанию подразумевали присоединение ко всем сетевым интерфейсам без задания параметров аутентификации.URL: https://blog.shodan.io/its-still-the-data-stupid/
Новость: http://www.opennet.me/opennews/art.shtml?num=43540
Всё текуче в этом мире
Неправда! Колбаса не текуча!
> Неправда! Колбаса не текуча!А ты сдави её хорошенько.
Если хорошо сдавить, то и рельсы потекут. Но давай не будем выходить за границы нормальных условий? :)
еще скажи что сдавливать рельсы не нормально.
> Если хорошо сдавить, то и рельсы потекут. Но давай не будем выходить
> за границы нормальных условий? :)Существование колбасы нормально, но не необходимо. Нормальное существование нормальной вселенной без нормальной колбасы вполне возможно.
Что?! "Нормальная" Вселенная без нормальной колбасы? Да кому нужна такая вселенная?
> Что?! "Нормальная" Вселенная без нормальной колбасы? Да кому нужна такая вселенная?Хорошо-хорошо, я сдаюсь. Пускай будет по-твоему, мой анонимный друг.
Нормальное функционирование вселенной невозможно без колбасы. Гераклит и юзер A.Stahl ошибались. Высказывание "Всё течёт, всё меняется" следует дополнить словами "и лишь колбаса постоянна".
//ушёл писать трактат "Вязкость колбасы как метод познания реальности бытия"
а нахрена нужна калбаца если есть мясо?
1. берём стейк
2. жарим
...
Profit!
Нормальная Вселенная должна быть и с текучей водкой, чтоб был толк от колбасы :)
> Неправда! Колбаса не текуча!Думаешь, колбаса будет всегда? А вот станет колбаса 404 -- и быстренько изменится мировоззрение на более философское.
500
колбаса будет всегда, это вопрос терминологии. технически - колбаса, фактически - соя с туалетной бумагой
> колбаса будет всегда, это вопрос терминологии. технически - колбаса, фактически - соя
> с туалетной бумагойOff-topic: А почему бумага именно "туалетная"? Специально, чтобы добавить дерьм^W драматизма? На самом деле-то речь об обычной целлюлозе. Дерево оно и в Африке дерево. Не очень питательно, но не ядовито и даже полезно для мышц кишечника. А уж соя -- самая настоящая еда.
Как будто это проблема и что-то плохое!? Данные должны быть доступны всем!
> Как будто это проблема и что-то плохое!? Данные должны быть доступны всем!Товарищ младший лейтенант, перелогиньтесь.
Поработали мы с Монгой 3 года. Хуже базы я не видел. В итоге выяснилось что тот же PostgreSQL делает всё то же самое (100% функционала монги), но быстрее :)
из коробки в постгре нет шардинга нормального и сложных схем репликации, ещё немного подождите и евангелируйте. Ну и сравнивать монгу трёхлетней давности (до тигра) и свежий посгрес это тоже круто.
а вот и фанбой с покосившимся дырявым складом жсонов без задач
А вот и школьник-хейтер подтянулся)
> из коробки в постгре нет шардинга нормального и сложных схем репликации, ещё немного подождите и евангелируйте.в постгре нет вообще никакого шардинга из коробки
> Ну и сравнивать монгу трёхлетней давности (до тигра) и свежий посгрес это тоже круто.
монге с тигром еще не исполнилось и года, примерно столько же постгря умеет адекватно работать с документами
> из коробки в постгре нет шардинга нормального и сложных схем репликации, ещё
> немного подождите и евангелируйте. Ну и сравнивать монгу трёхлетней давности (до
> тигра) и свежий посгрес это тоже круто.см ниже я ответил другому пользователю
Ничего что Монга и ПГ - это разные базы и разный принцип работы?
> Ничего что Монга и ПГ - это разные базы и разный принцип
> работы?Я работал с другими NoSQL базами в одной большой и известной компании, и с ними всё верно, вы правы -- совсем другой подход, чем к реляционным. Я их люблю и уважаю. Но после опыта с Монгой я считаю что это насмешка над СУБД.
Мы тоже думали сначала что монга это что-то другое. Но когда со временем начинаешь использовать 100% её возможностей, то понимаешь что по сути монга это key-value хранилище с syntactic sugar в виде JSON(BSON). То есть по сути работаешь со строками, то есть почти то же самое как если бы в ПГ создать таблицу с одним полем TEXT. Вот тебе и монга.
"Почти" -- потому что по TEXT не построишь индекс, зато по JSONB -- как раз. Плюс получаешь все вкусности SQL -- это и JOINs, и schema-full (когда говорят schema-less это на самом деле значит что теперь схему нужно менеджить самому, писать вручную скрипты foreach по всем строкам таблицы чтобы что-то поменять, вместо одного ALTER TABLE). И самое смешное, JSONB работает быстрее, чем монга (мерял по SELECT vs db.collection.find()).Как один из примеров -- нам очень нужен был атомарный update, aka compareAndSet в нормальных NoSQL, или простой UPDATE в SQL. В монге единственный способ -- findAndModify, который suck balls и по перформансу, и по возможностям. То же самое с атомарным insert. И таких примеров у нас накопилась уйма. Шардинг у нас натурально ложился на наш бизнес -- one shard per customer, и поэтому никакой проблемы не было, тем более что в ПГ данные занимают меньше места на диске.
> Я работал с другими NoSQL базами в одной большой и известной компанииЧасом не сталкивались с Elliptics?
>> Я работал с другими NoSQL базами в одной большой и известной компании
> Часом не сталкивались с Elliptics?Нет. Хорошая?
>>> Я работал с другими NoSQL базами в одной большой и известной компании
>> Часом не сталкивались с Elliptics?
> Нет. Хорошая?Автор говорит, что да: http://www.it-sobytie.ru/system/attachments/files/000/001/10...
>>>> Я работал с другими NoSQL базами в одной большой и известной компании
>>> Часом не сталкивались с Elliptics?
>> Нет. Хорошая?
> Автор говорит, что да: http://www.it-sobytie.ru/system/attachments/files/000/001/10...Автору веры нет. Когда другие скажут - тогда поверю.
>Некорректно настроенные серверы MongoDBА их можно настроить корректно?
можно. но на хабрахабре наверное не написали Статью (с большой "С" ага) про это. вот Админы из xUSSR и наплодили этих +5к
> А их можно настроить корректно?их не только нужно настраивать, но и прятать глубоко в интанете.
Мне одно интересно, кто настраивал сервера, на которых работают NoSQL-решения с открытым доступом с любого хоста? Неужели они не понимали, что выставлять доступ к подобному ПО наружу не безопасно?
> Мне одно интересно, кто настраивал сервера, на которых работают NoSQL-решения с открытым
> доступом с любого хоста? Неужели они не понимали, что выставлять доступ
> к подобному ПО наружу не безопасно?Ты удивишься, но большинство таких, как ты - копипастящих чужие конфиги и знающих лишь командy yum install и репозитарии - так и делают.
Что говорить - глянь по приколу на своем локалхосте версию OpenSSH. Note: Текущая актуальная 7.1.
Угумьс?
Неплохо
После чтения такого начинаешь верить, что даже ты можешь забацать суперпрожект раз уж каким то лохам удается :)
> После чтения такого начинаешь верить, что даже ты можешь забацать суперпрожект раз
> уж каким то лохам удается :)так они бахать суперпроекты умеют, а не красивый код и правильные конфиги.
Вы удивитесь, но у авторов "супрепроектов" тоже две руки, две ноги и одна голова.
Я уже скопировал! На ноут всё не влезло, кое-что пришлось сохранить на магнитную ленту.
> Я уже скопировал! На ноут всё не влезло, кое-что пришлось сохранить на
> магнитную ленту.db.collection.drop() и продавай им скопированое. почти уверен что бэкапов у них нет
>> Я уже скопировал! На ноут всё не влезло, кое-что пришлось сохранить на
>> магнитную ленту.
> db.collection.drop() и продавай им скопированое. почти уверен что бэкапов у них нетясный пень, нет, ты читал инструкцию по бекапу этого поделия?
>>> Я уже скопировал! На ноут всё не влезло, кое-что пришлось сохранить на
>>> магнитную ленту.
>> db.collection.drop() и продавай им скопированое. почти уверен что бэкапов у них нет
> ясный пень, нет, ты читал инструкцию по бекапу этого поделия?скажу больше - у меня он делается! ;-)
пал последний + перед SQL) люди волнуются!
имхо серебряная пуля в лице всех NoSQL по всей видимости выстрелила им же в ногу ввиду их конченной архитектуры и ненужности в пределах нашей вселенной
> имhоНе только humble, но и totally wrong.
А Redis по умолчанию, тоже открыт для мира?
Это в каком же дистрибутиве MongoDB по умолчанию слушает внешний интерфейс?
MongoDB в режиме кластера?
Private Network было лень строить.
Во всех как и memcached с redis )
В официальных монговских репах так было. Сейчас, по крайней мере 3-я ветка, по умочанию на локалхосте поднимается.
аналогии с кассандрой - неточны. там по-дефолту уже года три как довольно разумно все настроено.
а про разницу между SPDY и http2 - так ее - нету. ибо одно и то-же, несколько упрощая.