在Debian上為MongoDB啟用安全審計,可以按照以下步驟進行:
修改MongoDB配置文件:
打開MongoDB的配置文件,通常位于 /etc/mongod.conf
。在文件中找到或添加以下配置項:
auditLog:
destination: file
format: BSON
path: /var/log/mongodb/auditLog.bson
這會將審計日志以BSON格式記錄到指定的文件中。
重啟MongoDB服務: 修改配置文件后,需要重啟MongoDB服務以使更改生效??梢允褂靡韵旅钪貑ongoDB:
sudo systemctl restart mongod
驗證審計功能是否開啟: 重啟服務后,可以通過以下命令驗證審計功能是否成功開啟:
mongo --eval "db.runCommand({ getParameter: 1, auditLog: 1 })"
如果返回 true
,則表示審計功能已成功開啟。
--auditFilter
配置項。例如,要記錄用戶的創建和刪除操作,可以使用以下命令:db.createUser({
user: "exampleUser",
pwd: "password123",
roles: [{ role: "readWrite", db: "test" }]
})
db.dropUser("exampleUser")
然后檢查審計日志:bsondump /var/log/mongodb/auditLog.bson
你將看到關于用戶操作的相關信息。啟用身份驗證:
在配置文件中設置 security.authorization: "enabled"
以啟用身份驗證。
security:
authorization: enabled
限制網絡訪問:
修改MongoDB配置文件中的 net.bindIp
配置項,只允許特定的IP地址訪問MongoDB。例如,只允許本機訪問:
net:
bindIp: 127.0.0.1
定期檢查和分析審計日志: 定期檢查和分析審計日志,以確保數據安全,并遵循安全最佳實踐。