Ubuntu环境下MongoDB的核心安全策略
启用认证是防止未授权访问的基础。通过配置mongod.conf文件(通常位于/etc/mongod.conf),在security区块添加authorization: enabled,强制所有客户端连接时提供有效凭证。修改后需重启MongoDB服务使配置生效(sudo systemctl restart mongod)。启用后需创建管理员用户(如使用db.createUser命令在admin库中创建root角色用户),确保只有认证用户能访问数据库。
通过配置net.bindIp参数,限制MongoDB仅监听受信任的IP地址。若仅需本机访问,设置为127.0.0.1;若需允许特定服务器访问,可添加对应IP(如192.168.1.100,127.0.0.1)。同时,使用Ubuntu防火墙(ufw或iptables)进一步约束:例如,用ufw allow from 192.168.1.50 to any port 27017仅允许指定IP访问MongoDB端口(默认27017),减少外部攻击面。
启用SSL/TLS加密可防止数据在传输过程中被窃听或篡改。首先生成或获取SSL证书(含私钥)和CA证书,然后在mongod.conf的net.ssl区块配置:mode: requireSSL(强制加密)、PEMKeyFile: /path/to/mongodb.pem(证书路径)、CAFile: /path/to/ca.pem(CA证书路径)。重启服务后,客户端连接时需指定SSL参数(如mongo --ssl --sslCAFile /path/to/ca.pem --sslPEMKeyFile /path/to/client.pem)。
RBAC通过为用户分配角色实现最小权限原则。创建用户时,需指定对应数据库和角色(如readWrite用于读写权限、dbOwner用于数据库管理权限)。例如,在test库中创建用户mytest并授予读写权限:use test; db.createUser({user: "mytest", pwd: "securePwd", roles: [{role: "readWrite", db: "test"}]})。避免为用户分配root或dbOwner等过度权限,降低数据泄露或破坏风险。
审计日志可记录用户操作(如登录、查询、修改、删除),便于后续追溯异常行为。在mongod.conf的systemLog区块添加审计配置:destination: file(日志输出到文件)、path: /var/log/mongodb/audit.json(日志路径)、format: JSON(日志格式)。重启服务后,日志会记录所有用户操作的详细信息,需定期审查日志(如使用grep或日志分析工具)以检测可疑活动。
ufw或iptables限制MongoDB端口(默认27017)的访问,仅允许可信IP通过。例如,sudo ufw allow from 192.168.1.0/24 to any port 27017允许指定网段访问。mongod.conf中的net.port参数(如设置为27018),避免攻击者通过默认端口快速扫描到MongoDB服务。mongod.conf中设置nohttpinterface: true(关闭HTTP接口)、rest: false(关闭REST API),防止通过Web界面或REST接口进行未授权访问。保持MongoDB及Ubuntu系统为最新版本,及时应用安全补丁。使用sudo apt update && sudo apt upgrade命令更新系统软件包,定期检查MongoDB官方网站或Ubuntu安全公告,获取最新安全更新并安装,修复已知漏洞。
定期备份MongoDB数据,确保数据可恢复。使用mongodump命令进行逻辑备份(如mongodump --out /path/to/backup),或使用mongod的--oplog选项进行增量备份。备份数据需存储在安全位置(如异地存储或加密存储),并定期测试恢复流程,确保备份有效性。