mongoDBをパスワードなしで使用するのはいいですか？

Question

mongodbとそれに接続しているWindowsサービスを同じマシンにインストールする予定です。 そのマシンは独立したネットワークになります。

私たちはそれを好きにします。 ローカルのmongodbをパスワードなしで接続してもよろしいですか？

私の計画の特性は次のようになります...二つのオプション

private MongoDatabase _db; 
public MongoDatabase DB 
{ 
    get 
    { 
     if (_db == null) 
     { 
      var mongoServer = MongoServer.Create(); 
      _db = mongoServer.GetDatabase("myStatistics"); 
     } 
     return _db; 
    } 
} 

private MongoCollection _collection; 
public MongoCollection Collection 
{ 
    get { return _collection ?? (_collection = DB.GetCollection("myStats")); } 
} 

Answer 1

あります

1. パスワードレス信頼できる環境で

を保護

パスワードがそれです信頼できるネットワークでauthを無効にしてMongoDBを使用しても構いません。 MongoDb開発者recommend認証オプションに焦点を当てるのではなく、信頼できる環境でデータベースを実行しています。

Answer 2

同じマシン、独立したネットワーク。私ははいと言うだろう。私は私が取り組んでいるシステムでも同じことをしています。 ネットワークに接続されている他のコンピュータがインターネットに接続されていて、セキュリティで保護されていない（ウイルス対策、ファイアウォールなどがない）場合のみ、問題が発生します。

Answer 3

私にとっては、パスワードなしで実行するとどうなりますか？

信頼できる環境で動作している場合でも、パスワードを使用するには本当にコストがかかりますか？信頼できる環境が侵害されるべきではありませんが、完全に安全なものは何もなく、パスワードを追加することで、防御層を追加します。誰かがあなたのサーバーを侵害した場合、自動的にデータベースにアクセスすべきではありません。

ユーザーパスワードがデータベースに格納されているときと同じ理由で、ユーザーパスワードを暗号化/ハッシュします。誰かがあなたのサーバーを侵害した場合、自動的にすべてのものにアクセスすることはありません。

このアプローチは、深い防御と呼ばれます。

Answer 4

システムが分離されている場合は、実行できます。将来的にはあなたのプロジェクトの将来像を考えてみてください。アクセス制限のあるユーザーには、ユーザーの役割が必要な場合があります。可能性が高い場合は、その方向に向かって考えることを開始し、これはまた、あなたのdbのセキュリティにもう1つのレイヤーを追加します。