MongoDB在Ubuntu上的安全配置方法

以下是MongoDB在Ubuntu上的安全配置方法：

1. 安装MongoDB
   使用官方仓库安装最新版本，确保系统更新：

   sudo apt update  
   sudo apt install -y mongodb-org  
   

2. 配置数据目录权限
   创建专用数据目录并设置归属：

   sudo mkdir -p /var/lib/mongodb  
   sudo chown -R mongodb:mongodb /var/lib/mongodb  
   

3. 启用认证与授权
   编辑配置文件 /etc/mongod.conf，添加：

   security:  
     authorization: enabled  
   

   重启服务生效：

   sudo systemctl restart mongod  
   

4. 创建管理员用户
   通过MongoDB Shell创建具有管理权限的用户：

   mongosh  
   use admin  
   db.createUser({  
     user: "admin",  
     pwd: "强密码",  
     roles: [{ role: "userAdminAnyDatabase", db: "admin" }]  
   })  
   

5. 限制网络访问

   • 修改配置文件限制IP（仅允许可信IP）：

     net:  
       bindIp: 127.0.0.1,192.168.1.100  # 替换为实际IP  
     

   • 配合防火墙（ufw）开放端口：

     sudo ufw allow from 192.168.1.100 to any port 27017  
     sudo ufw reload  
     

6. 启用加密（可选）

   • 传输加密：在配置文件中添加SSL/TLS参数（需提前准备证书）：

     net:  
       ssl:  
         mode: requireSSL  
         PEMKeyFile: /path/to/ssl.pem  
         CAFile: /path/to/ca.pem  
     

   • 存储加密：使用WiredTiger存储引擎的加密功能（需配置密钥文件）。

7. 审计与监控

   • 启用审计日志记录操作：

     systemLog:  
       destination: file  
       path: /var/log/mongodb/mongod.log  
     

   • 定期通过mongostat、mongotop监控性能，使用db.serverStatus()检查状态。

8. 定期更新与备份

   • 定期升级MongoDB和系统补丁：

     sudo apt update && sudo apt upgrade  
     

   • 备份数据到安全位置，验证恢复流程。

注意：生产环境中需根据实际需求调整配置，避免暴露敏感端口，定期审计权限和日志。