如何在Debian上安全配置MongoDB

在Debian系统上安全配置MongoDB涉及多个步骤，包括安装、配置、启用身份验证、使用SSL/TLS加密通信、配置防火墙等。以下是一个详细的指南：

安装MongoDB

1. 更新系统：

sudo apt update && sudo apt upgrade -y

2. 导入MongoDB公钥：

wget -qO - https://www.mongodb.org/static/pgp/server-4.4.asc | sudo apt-key add -

3. 创建MongoDB列表文件： 对于Debian 11（Bullseye）：

echo "deb [archamd64,arm64] https://repo.mongodb.org/apt/debian bullseye/mongodb-org/4.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.4.list

对于Debian 10（Buster）：

echo "deb [archamd64,arm64] https://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.2.list

4. 更新包列表并安装MongoDB：

sudo apt update
sudo apt install -y mongodb-org

配置MongoDB

1. 编辑MongoDB配置文件 /etc/mongod.conf：

sudo nano /etc/mongod.conf

2. 基本配置：

• storage.dbPath：指定MongoDB的数据存储目录。
• systemLog.destination：指定日志文件的存储路径。
• net.port：指定MongoDB监听的端口（默认27017）。
• net.bindIp：指定MongoDB绑定的IP地址，允许远程连接时设置为 0.0.0.0。

3. 启用安全性和用户认证：

security:
  authorization: enabled

4. 创建管理用户：

use admin
db.createUser({
  user: "myUserAdmin",
  pwd: "myStrongPassword",
  roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
})

5. 启动MongoDB服务：

sudo systemctl start mongod
sudo systemctl enable mongod

6. 验证安装：

mongo

安全增强措施

1. 绑定IP地址：将MongoDB绑定到本地接口，只允许本机访问：

net:
  bindIp: 127.0.0.1

2. 启用SSL/TLS：为了加密客户端和服务器之间的通信，启用SSL：

net:
  ssl:
    mode: requireSSL
    PEMKeyFile: /path/to/your/mongodb.pem
    CAFile: /path/to/your/ca.pem

3. 配置防火墙：使用 ufw 允许27017端口：

sudo ufw allow 27017

4. 定期备份：使用 mongodump 定期备份MongoDB数据，并考虑将备份数据存储在安全的位置。

5. 禁用不必要的MongoDB接口和REST API：如果你使用的是MongoDB 3.6或更高版本，可以禁用HTTP接口和REST API：

net:
  http:
    enabled: false
  restApi:
    enabled: false

6. 启用安全审计：启用安全审计功能以记录数据库操作：

security:
  auditLog:
    destination: file
    format: JSON
    path: /var/log/mongodb/audit.json

通过以上步骤，你可以在Debian系统上安全地配置MongoDB，确保只有受信任的主机才能访问数据库，并且所有通信都是加密的。