MongoDB Ubuntu版如何安全设置

以下是Ubuntu版MongoDB的安全设置要点：

1. 基础安全配置

   • 绑定IP：修改/etc/mongod.conf中bindIp为127.0.0.1（仅本地访问）或指定可信IP，禁止0.0.0.0。
   • 启用认证：在配置文件中设置security.authorization: enabled，并重启服务。
   • 创建管理员用户：通过mongo命令在admin库中创建用户，分配userAdminAnyDatabase等角色。

2. 网络与防火墙

   • 限制端口访问：使用ufw或iptables仅允许可信IP访问MongoDB默认端口（27017）。
   • 关闭默认端口：若无需远程访问，可通过防火墙规则禁止27017端口的入站连接。

3. 加密与审计

   • SSL/TLS加密：配置证书路径（sslPEMKeyFile和sslCAFile），启用requireSSL。
   • 启用审计日志：在配置文件中添加审计日志路径，记录用户操作。

4. 系统级安全

   • 专用用户运行：创建mongodb系统用户，确保服务以非root权限运行。
   • 数据目录权限：将数据目录（默认/data/db）所有权设为mongodb用户。
   • 定期更新：保持MongoDB和Ubuntu系统更新，修复安全漏洞。

5. 高级防护（可选）

   • 禁止远程连接：通过配置bindIp或防火墙彻底禁止远程访问（仅适用于单机环境）。
   • 监控与备份：使用mongostat等工具监控性能，定期通过mongodump备份数据。

参考来源：[1,2,3,4,5,6,7,8,9,10]