Ubuntu MongoDB如何进行安全审计 - 问答

Ubuntu 上 MongoDB 安全审计实施指南

一版本与许可要求

MongoDB 的细粒度审计功能（auditLog）在社区版通常不可用，需要使用MongoDB Enterprise或Atlas 托管服务才支持。若运行的是社区版，将无法按操作类型输出审计事件；若需审计，请考虑升级到企业版或迁移到 Atlas。社区版常见替代做法是仅启用基础系统日志与认证审计，无法覆盖 CRUD 与命令级别的细粒度审计。

二启用审计的步骤 Enterprise 版

创建日志目录与权限：

sudo mkdir -p /var/log/mongodb
sudo touch /var/log/mongodb/audit.json
sudo chown mongodb:mongodb /var/log/mongodb/audit.json

重启使配置生效：
```
sudo systemctl restart mongod
```
验证审计输出：
```
tail -f /var/log/mongodb/audit.json
```
执行若干数据库操作（如连接、认证、查询、插入、更新、删除、执行命令），应能在审计日志中看到对应事件。以上步骤适用于 Ubuntu 上的 MongoDB Enterprise 部署。

三审计策略与过滤

若需按“操作类型”精简审计（减少噪声与存储），可在企业版中使用审计过滤器（filter）。例如仅记录认证成功/失败与 DML：
```
auditLog:
  destination: file
  format: JSON
  path: /var/log/mongodb/audit.json
  filter: '{ "atype": { "$in": ["authenticate", "createUser", "dropUser", "grantRolesToUser", "revokeRolesFromUser", "insert", "update", "delete", "drop", "dropDatabase"] } }'
```
说明：atype 表示审计事件类型（如 authenticate、createUser、insert、update、delete、drop 等）；使用 filter 可显著降低日志量并聚焦关键事件。
在云托管（如 MongoDB Atlas）中，可在控制台按需勾选需要审计的操作类型（如 admin、slow、query、insert、update、delete、command 等），便于控制成本与聚焦重点操作。

四社区版的可选做法

强化网络与传输安全（降低攻击面）：

绑定内网地址：

net:
  bindIp: 127.0.0.1,<内网IP>
  port: 27017

使用 UFW 限制来源 IP 访问 27017：

sudo ufw allow from <可信IP> to any port 27017
sudo ufw enable

启用 TLS/SSL 加密通信（示例）：

net:
  ssl:
    mode: requireSSL
    PEMKeyFile: /path/to/mongodb.pem

五运维与合规建议

日志轮转与容量规划：为 /var/log/mongodb/audit.json 配置 logrotate，避免磁盘被占满；定期归档与离线分析。
集中化与告警：将审计日志接入 SIEM/ELK（如 Filebeat → Logstash → Elasticsearch → Kibana）进行检索、可视化与异常告警。
变更留痕：对审计配置本身（如 filter、destination）的变更纳入变更管理流程，并记录在案以满足合规审计要求。

0 赞

0 踩