MongoDB在Linux配置中可能存在以下安全问题及应对措施:
- 未启用认证:需在
mongod.conf中设置security.authorization: enabled,并创建管理员账户。
- 网络暴露风险:
- 绑定IP为
0.0.0.0会暴露服务,应设置为受信任IP。
- 未限制端口访问,建议通过防火墙限制仅允许必要IP访问默认端口(27017)。
- 数据传输不安全:应启用SSL/TLS加密通信,配置证书和密钥。
- 权限管理不当:
- 未遵循最小权限原则,需为用户分配特定角色,避免使用管理员账户执行日常操作。
- 未定期审查和更新用户权限。
- 服务配置缺陷:
- 启用不必要的接口(如HTTP、REST),需在配置文件中禁用。
- 以特权用户运行服务,应创建专用非特权用户运行MongoDB。
- 审计与监控缺失:未启用审计日志记录操作,需配置审计功能并定期审查日志。
- 数据存储风险:未对敏感数据进行加密存储,可结合应用层加密或使用MongoDB客户端加密功能。