spring 项目中数据库配置暴露,会有安全隐患嘛。同理用阿里的 canal 同步数据,也需要数据库账户密码等信息。这种的会不会存在安全隐患
Renco · 2021-03-17 17:50:44 +08:00 · 1443 次点击这是一个创建于 1331 天前的主题,其中的信息可能已经有所发展或是发生改变。
因为基本上都是写业务对安全问题只基于最简单的配置密码。前段时间用 canal+ES 做数据的同步和搜索,结果被什么喵喵机器人给攻击了。ES 数据被破坏成乱码。这个原因是因为开放了 es 端口结果没设置密码导致的(因为是测试环境)。所以我想如果端口不开放的情况下,系统的安全问题还会存在吗。然后之前数据库开放了公网访问,也被人盗窃了数据。服务器都是部署在阿里云上的。
对系统的安全和网络方向上不太了解。怎么样保证项目的安全性呢。有大佬可以大概科普下安全相关的概念么。感谢。
 |
1
zoharSoul 2021-03-17 17:52:40 +08:00
完全没听懂你想表达什么...
就说第一句, `spring 项目中数据库配置暴露,会有安全隐患嘛`. 这个安全隐患指的是什么呢? 员工可以知道数据库配置了? |
 |
2
boris93 2021-03-17 17:56:54 +08:00 via iPhone
端口暴露到公网,还不设密码,就相当于脱了裤子喊“来日我啊”
数据库账号和密码暴露到代码库,也就是说所有人都能看到,如果是生产库密码,而且生产库没有做访问控制,那么任何知道这个密码的人都能上生产库胡搞 |
 |
3
qinxi 2021-03-17 17:56:56 +08:00
springboot 配置有优先级. 配置不一定必须在源码里
https://docs.spring.io/spring-boot/docs/1.2.2.RELEASE/reference/html/boot-features-external-config.html |
 |
6
Va1n3R 2021-03-17 18:47:13 +08:00
没必要开放端口的情况下最好别开,每天都有一大堆的人扫全球的服务,什么 es 、mysql 等都是重灾区。非要开放的话,做好权限控制防止被拿 shell 、IP 访问限制防止被暴力破解,还有无论什么服务,一定要强密码。
|
 |
8
huifer 2021-03-18 14:09:41 +08:00
|
Select Language