MongoDB在Linux上的安全设置怎么做 - 问答

MongoDB 在 Linux 上的安全设置清单

一身份与访问控制

启用认证：编辑配置文件 /etc/mongod.conf，在 security 段开启授权，重启服务生效。
- security:
  - authorization: enabled
创建管理员：连接本地实例后，在 admin 库创建高权限账户（示例赋予 root 角色，生产环境可按最小权限原则细化）。
- use admin
  - db.createUser({ user: “admin”, pwd: “StrongPass!23”, roles: [“root”] })
按库分权：为业务库创建最小权限用户（示例为某库的读写权限）。
- use mydb
  - db.createUser({ user: “app_rw”, pwd: “AppPass!45”, roles: [“readWrite”] })
连接串示例：mongodb://app_rw:AppPass!45@dbhost:27017/mydb?authSource=admin。

二网络与防火墙

绑定地址最小化：在 net.bindIp 仅绑定需要的内网地址，避免对公网开放；如需本机调试可临时绑定 127.0.0.1。
- net:
  - bindIp: 127.0.0.1,192.168.1.10
防火墙限制来源 IP（示例仅放行业务网段或跳板机）：
- firewalld（CentOS/RHEL 7+）
  - sudo firewall-cmd --permanent --zone=public --add-rich-rule=‘rule family=“ipv4” source address=“192.168.1.0/24” port protocol=“tcp” port=“27017” accept’
  - sudo firewall-cmd --reload
- ufw（Ubuntu/Debian）
  - sudo ufw allow from 192.168.1.0/24 to any port 27017
  - sudo ufw enable && sudo ufw status
端口与监听校验：确认仅监听预期地址与端口。
- ss -lntp | grep 27017
- 远程连通性测试（应被拒绝或仅特定来源可达）：nc -vz 27017

三加密与传输安全

四系统与服务加固

最小权限运行：使用专用系统用户（如 mongod）运行进程，目录权限最小化。
- sudo useradd -r -s /bin/false mongod
- sudo chown -R mongod:mongod /var/lib/mongodb /var/log/mongodb
- ExecStart=/usr/bin/mongod --config /etc/mongod.conf（以 systemd 服务为例）
关闭不必要的接口与功能：禁用 HTTP/REST/JSONP 管理接口，减少攻击面。
- net:
  - http:
    - enabled: false
  - RESTInterfaceEnabled: false
  - JSONPEnabled: false
审计日志（企业版功能为主）：记录关键操作，便于合规与溯源。
- security:
  - auditLog:
    - destination: file
    - format: JSON
    - path: /var/log/mongodb/audit.json
日志与监控：确保日志落盘、滚动与关键指标监控（连接数、慢查询、复制延迟等）。

五备份与持续维护

定期备份与校验：使用 mongodump/mongorestore 做定时备份，定期恢复演练验证可用性。
- mongodump --out /backup/mongo-$(date +%F)
- mongorestore /backup/mongo-2025-08-01
安全更新与补丁：订阅 MongoDB 安全公告，及时升级小版本修复漏洞；对公网开放前务必完成加固与渗透测试。

0 赞

0 踩