Linux下MongoDB如何進行安全配置

在Linux下對MongoDB進行安全配置，可以遵循以下步驟：

1. 啟用身份驗證

• 編輯配置文件：在 /etc/mongod.conf 文件中，找到或添加以下內容：

  security:
    authorization: enabled
  

• 重啟MongoDB服務：使用以下命令重啟MongoDB服務以應用更改：

  sudo systemctl restart mongod
  

2. 創建管理員賬戶

• 連接到MongoDB Shell：

  mongo
  

• 切換到admin數據庫：

  use admin
  

• 創建管理員賬戶：

  db.createUser({
    user: "admin",
    pwd: "your_strong_password",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  })
  

3. 配置網絡訪問

• 限制遠程訪問：在 /etc/mongod.conf 文件中配置 bindIp 參數，僅允許特定IP地址或主機名連接。例如，只允許本機訪問：

  net:
    bindIp: 127.0.0.1
  

• 禁用HTTP接口：在生產環境中，建議禁用HTTP接口以減少安全風險。在 /etc/mongod.conf 文件中添加：

  net:
    http:
      enabled: false
  

4. 使用TLS/SSL加密

• 生成SSL證書和密鑰：使用OpenSSL生成自簽名證書：

  sudo openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout /etc/ssl/mongodb.key -out /etc/ssl/mongodb.crt
  

• 配置MongoDB使用SSL：編輯 /etc/mongod.conf 文件，添加SSL配置：

  net:
    ssl:
      mode: requireSSL
      PEMKeyFile: /etc/ssl/mongodb.key
      CAFile: /etc/ssl/mongodb.crt
  

• 重啟MongoDB服務：

  sudo systemctl restart mongod
  

5. 啟用審計日志

• 配置審計日志：在 /etc/mongod.conf 文件中添加以下參數以啟用審計日志記錄所有用戶的操作：

  security:
    auditLog:
      destination: file
      format: JSON
      path: /var/log/mongodb/audit.json
  

• 重啟MongoDB服務：

  sudo systemctl restart mongod
  

6. 配置防火墻

• 使用iptables：限制對MongoDB端口的訪問，確保只有受信任的網絡可以訪問MongoDB實例。

  sudo iptables -A INPUT -p tcp --dport 27017 -s 127.0.0.1 -j ACCEPT
  sudo iptables -A INPUT -p tcp --dport 27017 -j DROP
  

• 使用ufw：

  sudo ufw allow from 127.0.0.1 to any port 27017
  sudo ufw disable
  

7. 定期備份

• 定期備份MongoDB的數據，確保備份數據的完整性和可恢復性。使用 mongodump 和 mongorestore 工具進行備份和恢復。

8. 使用強密碼策略

• 為所有用戶賬戶設置復雜且定期更換的密碼。

9. 禁用不必要的接口和功能

• 如REST接口、HTTP接口等，以減少潛在的安全風險。

10. 定期更新和打補丁

• 定期檢查MongoDB的安全更新和補丁，及時應用最新的安全補丁以修復已知漏洞。