身份验证是防止未授权访问的第一道防线。编辑MongoDB配置文件(/etc/mongod.conf),在security section添加或修改以下内容:
security:
authorization: enabled
重启MongoDB服务使配置生效:
sudo systemctl restart mongod
创建管理员账户(以admin数据库为例):
mongo
use admin
db.createUser({
user: "admin",
pwd: "YourStrongPassword123!",
roles: ["root"] # 分配root角色(拥有所有数据库管理权限)
})
后续所有数据库操作需通过该管理员账户登录。
修改/etc/mongod.conf中的net.bindIp参数,仅允许受信任的IP地址或网络访问。例如:
bindIp: 127.0.0.1bindIp: 192.168.1.100,127.0.0.1(替换为实际IP)关闭HTTP状态接口和REST接口,减少攻击面:
net:
http:
enabled: false
RESTInterfaceEnabled: false
JSONPEnabled: false
重启服务使配置生效。
使用ufw(Ubuntu)或iptables(CentOS)限制MongoDB端口(默认27017)的访问:
sudo ufw allow from 192.168.1.0/24 to any port 27017 # 仅允许192.168.1.0/24网段访问
sudo ufw enable
sudo iptables -A INPUT -p tcp --dport 27017 -s 192.168.1.100 -j ACCEPT # 允许特定IP
sudo iptables -A INPUT -p tcp --dport 27017 -j DROP # 拒绝其他IP
加密MongoDB客户端与服务端之间的通信,防止数据泄露。
使用OpenSSL生成自签名证书(生产环境建议使用CA签发的证书):
openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout mongodb-key.pem -out mongodb-cert.pem
将生成的mongodb-key.pem(私钥)和mongodb-cert.pem(证书)存放在安全目录(如/etc/ssl/mongodb)。
修改/etc/mongod.conf中的net.ssl section:
net:
ssl:
mode: requireSSL # 强制使用SSL
PEMKeyFile: /etc/ssl/mongodb/mongodb-key.pem # 私钥路径
CAFile: /etc/ssl/mongodb/mongodb-cert.pem # 证书路径(自签名时可省略或指向自身)
重启服务生效。
审计日志可记录所有用户操作(如查询、插入、删除),便于追踪安全事件。仅在MongoDB Enterprise版本中支持。
修改/etc/mongod.conf中的security.auditLog section:
security:
auditLog:
destination: file # 日志输出到文件
format: JSON # 日志格式为JSON(便于解析)
path: /var/log/mongodb/mongod-audit.log # 日志文件路径
重启服务使审计功能生效。
避免以root用户运行MongoDB,降低权限提升风险。
sudo useradd -r -s /bin/false mongodb # 创建系统用户(无登录权限)
将MongoDB数据目录(默认/var/lib/mongodb)和日志目录(默认/var/log/mongodb)的所有权赋予该用户:
sudo chown -R mongodb:mongodb /var/lib/mongodb
sudo chown -R mongodb:mongodb /var/log/mongodb
sudo systemctl edit mongod # 编辑服务文件,添加User和Group参数
在编辑器中添加:
[Service]
User=mongodb
Group=mongodb
保存后重启服务:
sudo systemctl daemon-reload
sudo systemctl restart mongod
为用户分配仅满足其工作需求的权限,避免过度授权。
例如,为mydatabase数据库创建只读用户app_user:
mongo
use mydatabase
db.createUser({
user: "app_user",
pwd: "AppUserPassword456!",
roles: ["readWrite"] # 仅授予读写权限
})
优先使用MongoDB内置角色(如read、readWrite、dbAdmin、userAdmin),减少自定义角色的复杂度。如需更细粒度的权限,可创建自定义角色。
及时应用MongoDB官方发布的安全补丁,修复已知漏洞。
# Ubuntu/Debian
sudo apt-get update
sudo apt-get upgrade mongodb-org
# CentOS/RHEL
sudo yum update mongodb-org
建议开启自动更新(如unattended-upgrades),确保系统与MongoDB始终保持最新状态。
确保MongoDB数据文件和配置文件的权限仅允许授权用户访问:
sudo chmod -R 750 /var/lib/mongodb # 数据目录:所有者可读写执行,组用户可读执行
sudo chmod -R 750 /var/log/mongodb # 日志目录:同上
sudo chmod 600 /etc/mongod.conf # 配置文件:仅所有者可读写
REST接口允许通过HTTP访问MongoDB,存在安全风险,建议关闭(已在步骤2.2中配置)。
若无需在查询中使用JavaScript,可在配置文件中禁用:
security:
javascriptEnabled: false
重启服务生效。
定期备份MongoDB数据,确保在数据丢失或被篡改时能够快速恢复。
mongodump备份mongodump --out /path/to/backup --host 127.0.0.1 --port 27017 --username admin --password YourStrongPassword123!
mongorestore恢复mongorestore /path/to/backup --host 127.0.0.1 --port 27017 --username admin --password YourStrongPassword123!
建议将备份文件存储在异地或云存储中,进一步提高数据安全性。
通过以上步骤,可显著提升Linux环境下MongoDB的安全性,防范未授权访问、数据泄露等常见安全威胁。需定期审查安全配置(如每季度一次),并根据业务需求调整权限和访问控制策略。