Linux下MongoDB安全设置怎么做

在Linux系统下配置MongoDB以提高安全性，可以按照以下步骤进行：

1. 启用身份验证

• 修改配置文件：编辑MongoDB的配置文件（通常是 /etc/mongod.conf），在 security 部分添加或确认以下内容：

  security:
    authorization: enabled
  

• 重启MongoDB服务：保存配置文件后，重启MongoDB服务以应用更改：

  sudo systemctl restart mongod
  

2. 创建管理员账户

• 连接到MongoDB Shell：使用 mongo 命令连接到MongoDB实例。
• 创建管理员账户：在 admin 数据库中创建一个管理员用户并为其分配必要的角色。例如：

  use admin
  db.createUser({
    user: "admin",
    pwd: "yourStrongPassword",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  })
  

3. 配置网络访问控制

• 限制网络访问：在 mongod.conf 文件中配置绑定的IP地址，只允许特定的网络访问MongoDB。例如，只允许本地访问：

  net:
    bindIp: 127.0.0.1
  

4. 使用TLS/SSL加密通信

• 生成SSL证书：使用OpenSSL生成自签名证书。
• 修改配置文件：在 mongod.conf 文件中添加SSL配置：

  net:
    ssl:
      mode: requireSSL
      PEMKeyFile: /path/to/mongodb.pem
      CAFile: /path/to/ca.pem
  

• 重启MongoDB服务：重新启动MongoDB服务以应用更改：

  sudo systemctl restart mongod
  

5. 禁用不必要的接口

• 禁用HTTP接口和JSONP访问：在 mongod.conf 文件中禁用HTTP接口和JSONP访问，以减少攻击面：

  net:
    http:
      enabled: false
      RESTInterfaceEnabled: false
      JSONPEnabled: false
  

6. 配置审计日志

• 启用审计日志：如果使用MongoDB Enterprise，可以配置审计日志以记录所有操作。在 mongod.conf 文件中添加以下内容：

  security:
    auditLog:
      destination: file
      format: JSON
      path: /var/log/mongodb/audit.json
  

• 重启MongoDB服务：重新启动MongoDB服务以应用更改：

  sudo systemctl restart mongod
  

7. 文件权限设置

• 确保文件权限正确：确保MongoDB的数据文件和日志文件具有正确的权限。例如：

  sudo chmod -R 750 /var/lib/mongodb
  sudo chmod -R 750 /var/log/mongodb
  

8. 定期更新和维护

• 定期更新MongoDB：保持MongoDB软件的最新状态，定期应用安全补丁。
• 监控和警报：设置监控和警报系统，以便及时发现和响应安全事件。

9. 使用防火墙限制访问

• 配置防火墙：使用 iptables 或 ufw 限制对MongoDB端口的访问，确保只有受信任的网络可以访问MongoDB实例。例如，使用 ufw：

  sudo ufw allow 27017/tcp
  

通过以上步骤，可以显著提高MongoDB在Linux上的安全性。