Ubuntu MongoDB安全配置有哪些要點

在Ubuntu上為MongoDB進行安全配置是確保數據庫安全和防止未授權訪問的重要步驟。以下是一些關鍵的安全配置要點：

1. 啟用身份驗證

• 編輯MongoDB配置文件 /etc/mongod.conf，在 security 部分啟用身份驗證：

  security:
    authorization: enabled
  

• 保存并關閉文件，然后重啟MongoDB服務：

  sudo systemctl restart mongod
  

2. 創建專用MongoDB用戶

• 使用MongoDB shell創建一個具有管理權限的用戶：

  mongo
  use admin
  db.createUser({
    user: "myUserAdmin",
    pwd: "myUserAdminPwd",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  })
  

3. 限制IP訪問

• 在MongoDB配置文件中設置 bindIp，以允許特定IP地址訪問MongoDB服務器：

  net:
    port: 27017
    bindIp: 127.0.0.1,192.168.1.100
  

• 保存并關閉文件，然后重啟MongoDB服務：

  sudo systemctl restart mongod
  

4. 使用防火墻限制訪問

• 如果系統啟用了防火墻，使用 ufw 命令限制對MongoDB端口的訪問：

  sudo ufw allow from 192.168.1.100 to any port 27017
  sudo ufw enable
  

5. 啟用TLS/SSL加密

• 生成或獲取有效的SSL證書和私鑰文件，在 mongod.conf 配置文件中添加以下參數：

  net:
    ssl:
      mode: requireSSL
      PEMKeyFile: /path/to/your/ssl.pem
      CAFile: /path/to/your/ca.pem
  

• 重新啟動MongoDB服務使配置生效：

  sudo systemctl restart mongod
  

6. 審計日志

• 在 mongod.conf 配置文件中添加以下參數以啟用審計日志記錄所有用戶的操作：

  systemLog:
    destination: file
    path: /var/log/mongodb/mongod.log
    logAppend: true
  

7. 定期備份數據

• 定期備份MongoDB的數據，確保備份數據的完整性和可恢復性。

8. 安全更新和補丁管理

• 定期檢查MongoDB的安全更新和補丁，及時應用最新的安全補丁以修復已知漏洞。

9. 禁用透明大頁面（THP）

• 編輯 /etc/systemd/system/disable-thp.service 文件：

  [Unit]
  Description = Disable Transparent Huge Pages (THP)
  [Service]
  Type = simple
  ExecStart = /bin/sh -c "echo 'never' /sys/kernel/mm/transparent_hugepage/enabled && echo 'never' /sys/kernel/mm/transparent_hugepage/defrag"
  [Install]
  WantedBy = multi-user.target
  

• 重新加載并啟用服務：

  sudo systemctl daemon-reload
  sudo systemctl enable --now disable-thp.service
  

10. 設置MongoDB用戶的資源限制

• 編輯 /etc/security/limits.d/mongodb.conf 文件：

  mongod soft nproc 64000
  mongod hard nproc 64000
  mongod soft nofile 64000
  mongod hard nofile 64000
  

通過以上步驟，可以顯著提高MongoDB在Ubuntu上的安全性。請記住，安全是一個持續的過程，需要定期審查和更新配置。