刚刚过去的这个周末,各位大数据和数据库从业者想必是被MongoDB的"安全事件"给刷屏了,MongoDB作为当前NoSQL在全球的领军人物,遭到这么大规模的黑客攻击,这也再次让我们对于新一代的开源数据库的数据安全问题产生了思考.而作为国内领先的新一代分布式数据库厂商,我们也来说说我们对这个事件的看法. 事件回顾 此前,众多无需身份验证的开放式 MongoDB 数据库实例正在遭受多个黑客组织的攻击,被攻破的数据库内容会被加密,受害者必须支付赎金才能找回自己的数据.攻击者利用配置存在疏漏的…

此文已由作者温正湖授权网易云社区发布. 欢迎访问网易云社区,了解更多网易技术产品运营经验. 近段时间来,全球范围内数以万计的MongoDB实例被攻击,作为旨在为用户提供最优MongoDB云服务的网易蜂巢MongoDB团队在第一时间跟进了相关报道,虽然蜂巢MongoDB服务从设计初就将数据的安全性列为第一位,确保用户数据安全,但本着高度负责的态度我们对MongoDB服务又进行了安全自检,显然,结果也没让大家失望.这次事件从技术层面看并没有什么高深之处,应对措施也非常方便,下面结合蜂巢MongoDB…

传智-玄痛(传智播客北京校区C/C++学院技术指导老师) MongoDB的起源 几年前 10gen 公司做了 SaaS 方面的研发,由于公司一个 MongoDB 产品存储接口的易用性,用户评价很好,公司開始全力开发 MongoDB.也因此10gen 公司改名为 MongoDB. MongoDB的应用  MongoDB 适用于站点数据.游戏数据.缓存.高伸缩性等场景. 眼下.百度.阿里.快的打车.京东.赶集网.360.CERN等众多公司纷纷部署MongoDB. MongoDB的特点 在 Web2.…

今天上午(2017年1月7日),我的微信群中同时出现了两个MongoDB被黑掉要赎金的情况,于是在调查过程中,发现了这个事件.这个事件应该是2017年开年的第一次比较大的安全事件吧,发现国内居然没有什么报道,国内安全圈也没有什么动静(当然,他们也许知道,只是不想说吧),Anyway,让我这个非安全领域的人来帮补补位. 事件回顾 这个事情应该是从2017年1月3日进入公众视野的,是由安全圈的大拿 Victor Gevers (网名:0xDUDE,GDI.foundation 的Chairman),…

我们在上一篇文章中已经讲解了cas4.2.X登录启用mongodb验证方式 单点登录(十三)-----实战-----cas4.2.X登录启用mongodb验证方式完整流程 但是密码是明文存储的,也就是说 数据库里password存的是什么,跟用户填写的密码是一样的. 但是一般来说 我们需要对用户的密码进行加密后才存储入库. 登录时对照密码 就需要对用户填写的密码进行同种类型的加密之后再对照. cas加密方式分析 cas5.0.X默认提供了4种配置 # cas.authn.mongo.passwo…

P1:在cnodejs.org上面看到有人问这个问题: 然后对此产生思考,第一句db.artile.find('uid':id) 然后问后台是否是这样查询,后台告诉我不是,这种写法就是违背非关系型数据库的设计原理的,我一想也是这个道理,应该是一个用户就是一个记录,他的id,username,userpwd,article,comment都应该在这一条记录里面,而不是把用户分成专门的一个集合,把文章专门分成一个集合,把评论分成一个专门的集合,这种设计思路还是停留在关系型数据库中.   P2:用no…

在进行副本集部署时我们会添加一个或多个仲裁节点,仲裁节点不用于备份数据,由于它职责的职责是负责选举主节点,所以对硬件没有太高要求,可以将它部署在单独的服务器上,这个服务器可以是监听服务器,也可以部署在虚拟机上,但是有一点仲裁节点一定不能备份数据．仲裁节点和注解点都可以参与选举,而选举对象是各个非投票成员,也就是需要备份数据的从节点． 图列 这让我想起了以前了解过的zookeeper集群中的选举方案,它和MongoDB有所不同． ZooKeeper采用一种称为Leader election的选举算…

大约在五六年前,第一次接触到了当时已经是hot topic的NoSql.不过那个时候学的用的都是mysql,Nosql对于我而言还是新事物,并没有真正使用,只是不明觉厉.但是印象深刻的是这么一张图片(后来google到图片来自这里):     这张图片是讲数据库(包括传统的关系型数据库和NOSQL)与CAP理论的关系.由于并NoSql并没有实践经验,也没有去深入了解,对于CAP理论更是一知半解.因此,为什么某一款数据库被划分到哪一个阵营,并不清楚.     工作之后对MongoDB使用得比较多,…

前言 传统关系数据库中都提供了基于row number的分页功能,切换MongoDB后,想要实现分页,则需要修改一下思路. 传统分页思路 假设一页大小为10条.则 //page 1 1-10 //page 2 11-20 //page 3 21-30 ... //page n 10*(n-1) +1 - 10*n MongoDB提供了skip()和limit()方法. skip: 跳过指定数量的数据. 可以用来跳过当前页之前的数据,即跳过pageSize*(n-1). limit: 指定从Mon…

Mongodb Oplog 和 Journal log 的关系与执行顺序 就关系来说,op log实际上与数据是一致的概念. 但在有 RC的时候,执行顺序 w  j 的设置 如果不设置 j ,则默认是100ms刷盘. 单机 如果宕机,最大丢失100ms的数据 RC 其实没多大关系,只要op log 写成功即可 设置w 的个数, 按照NRW原则,如果出现数据丢失的情况应该是喝水塞牙缝的概率,应该是 主宕机概率*从1宕机概率*...*从w(n)宕机概率 但在这里会有一个问题,场景是 主宕机,未设置…