MongoDB在Linux上怎樣安全設置

在Linux上對MongoDB進行安全設置，可以遵循以下步驟：

1. 啟用認證

• 編輯配置文件：在 /etc/mongod.conf 文件中，找到或添加以下內容：

  security:
    authorization: enabled
  

• 重啟MongoDB服務：使用以下命令重啟MongoDB服務以應用更改：

  sudo systemctl restart mongod
  

2. 創建管理員賬戶

• 連接到MongoDB Shell：

  mongo
  

• 切換到admin數據庫：

  use admin
  

• 創建管理員賬戶：

  db.createUser({
    user: "admin",
    pwd: "your_strong_password",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  })
  

3. 配置網絡

• 限制遠程訪問：在 /etc/mongod.conf 文件中配置 bindIp 參數，僅允許特定IP地址或主機名連接。例如：

  net:
    bindIp: 192.168.1.0/24
  

• 禁用HTTP接口：在生產環境中，建議禁用HTTP接口以減少安全風險。在 /etc/mongod.conf 文件中添加：

  net:
    http:
      enabled: false
  

4. 使用TLS/SSL加密

• 生成或獲取有效的SSL證書和私鑰文件。
• 在 /etc/mongod.conf 配置文件中添加以下參數：

  net:
    ssl:
      mode: requireSSL
      PEMKeyFile: /path/to/your/ssl.pem
      CAFile: /path/to/your/ca.pem
  

• 重新啟動MongoDB服務以使配置生效。

5. 啟用審計日志

• 在 /etc/mongod.conf 文件中添加以下參數以啟用審計日志記錄所有用戶的操作：

  systemLog:
    destination: file
    path: /var/log/mongodb/mongod.log
    logAppend: true
  

6. 定期備份數據

• 定期備份MongoDB的數據，確保備份數據的完整性和可恢復性。

7. 使用強密碼策略

• 為所有用戶賬戶設置復雜且定期更換的密碼。

8. 禁用不必要的接口和功能

• 如REST接口、HTTP接口等，以減少潛在的安全風險。

9. 配置防火墻

• 使用 iptables 或 firewalld 設置防火墻規則，僅開放必要的端口。

10. 定期更新和打補丁

• 定期檢查MongoDB的安全更新和補丁，及時應用最新的安全補丁以修復已知漏洞。