redis mongodb 不用开启用户密码验证么？

一般不开启，如果开启每次请求操作的时候都需要 auth ，一般靠网络或端口来限制访问。

被头像吸引进来的，好难受。

不是，敢不开密码就是作死。不是空密码 iptables 不开端口就没事了。不差这点校验密码的计算性能，大不了加服务器。

Redis 有过提权漏洞，就在 V2EX 就爆过 Redis 无密码，通过 Web 权限提权的 bug 。

乌云爆过不开 MongoDB 密码，拿到 Web 权限就去拖库的漏洞。

@lecher 我就是这样子告诉他们， 他们一上来就扯业界都是这样子做的。 现在的状态就是在服务器内网环境中 任意一台机器都能登陆上 redis mongodb 了。。

@nilai 这还扯什么淡啊，内网谁都能上，公交车么，不加密码玩儿个蛋啊

@nilai 内网随便机器都能登录？？？

我们有几台机器也是没有设置密码但是有限制 ip

我讲一个例子，内网服务器 Redis 没有开启授权验证，而且为了方便开发链接 Redis 也没有做端口 IP 限制。

某天某个开发下载了一个盗版软件，第二天服务器所有文件给删除了。

经查日志发现使用 Redis 在.ssh 文件夹中写入了公钥。

那就是偷懒了。
所谓业界不设密码的事情，不是为了追求性能，现在被曝得多了，都严格审查权限设置密码了。

这有个 Redis 注入 .ssh 获取登录权限的分析
http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/

不想设也无所谓，风险说清楚，到时候该谁的责任别推卸也无所谓。

服务器内网有访问权限吗

好喜欢这个头像啊