주요정보통신기반시설 데이터베이스 상 항목 취약점 진단 MongoDB 진단 기준 및 쿼리

구분 점검 항목 설명 MongoDB 쿼리 또는 확인 방법 비고 쿼리 설명
1. 계정 관리 D-01. 기본 계정의 패스워드, 정책 등을 변경하여 사용 MongoDB 4.0은 패스워드 정책 설정 기능 없음 "use admin
db.system.users.find().pretty()" 정책적으로 관리 필요 모든 사용자 정보 출력
D-02. 불필요 계정 제거 또는 잠금 설정 등록된 사용자 계정 확인 "use admin
db.system.users.find().pretty()" 불필요한 계정 존재 여부 점검 모든 사용자 정보 출력
D-03. 패스워드 사용 기간 및 복잡도 설정 MongoDB 자체 기능 없음 (해당 없음) 정책적 관리 필요
D-04. 관리자 권한 계정 확인 `root`, `userAdminAnyDatabase` 등 관리자 권한 확인 "use admin
db.system.users.find({}, {user:1, roles:1}).pretty()" 관리자 권한 최소화 여부 확인 모든 사용자 정보와 role 출력
2. 접근 관리 D-05. 원격 접속 제한(bindIp 설정) 외부 접속 차단을 위한 bindIp 설정 확인 "cat /etc/mongod.conf | egrep 'bindIp|bind|port'
ps -ef | grep mongod" Shell에서 직접 확인 필요
D-06. 인가되지 않은 사용자의 시스템 테이블 접근 제한 `dbAdmin`, `root`, `clusterAdmin` 등 역할 확인 "use admin
db.system.users.find({}, {user:1, roles:1}).pretty()" 역할 분리 필요 모든 사용자 정보와 role 출력
3. 옵션 관리 D-07. 오라클 리스너 패스워드 설정 MongoDB에는 해당 없음 (N/A) Oracle 전용 항목
D-08. Role이 public으로 설정되지 않도록 조정 MongoDB에는 `public` role 없음 (N/A) N/A
D-09. OS 인증 관련 옵션 (OS_ROLES 등) MongoDB에는 해당 없음 (N/A) Oracle 전용 항목
4. 패치 관리 D-10. 보안 패치 및 권고 적용 여부 MongoDB 버전 확인 db.version() 버전 최신 여부 확인
5. 감사 로그 설정 D-11. 감사 로그 설정 여부 감사로그 설정 여부 확인 db.serverStatus().audit Enterprise 버전에서만 지원

* 출력이 되지 않은 경우 해당 설정이 존재하지 않는 것입니다.

*계정관리 항목 점검 시 mongodb설정파일의 authorization enable 설정 확인 필요 : authorization 기본 비활성화 되어있어 누구든지 로그인할 수 있으며 모든 데이터 조회, 수정, 삭제 가능함.