MongoDB Ubuntu安全设置指南

在Ubuntu系统上为MongoDB设置安全措施是保护数据库免受未授权访问和恶意攻击的关键步骤。以下是一个详细的指南，涵盖了从基础配置到高级安全措施的各个方面。

基础配置

1. 安装MongoDB

   首先，确保你的Ubuntu系统已经更新，然后安装MongoDB。

   sudo apt-get update
   sudo apt-get install -y mongodb-org
   

2. 创建数据存储目录并设置权限

   创建一个用于存储MongoDB数据的目录，并设置适当的权限。

   sudo mkdir -p /data/db
   sudo chown -R mongodb:mongodb /data/db
   

3. 编辑MongoDB配置文件

   使用文本编辑器（如nano）打开MongoDB配置文件，通常位于 /etc/mongod.conf。

   sudo nano /etc/mongod.conf
   

   在配置文件中，进行以下修改：

   • 绑定IP地址：将 bindIp 设置为 127.0.0.1，以限制MongoDB只监听本地连接。如果需要远程访问，可以设置为 0.0.0.0，但请注意这会带来安全风险。
   • 启用认证授权：在 security 部分设置 authorization 为 enabled。
   • SSL/TLS：为了加密数据传输，可以配置SSL/TLS。需要获取或生成SSL证书和私钥，并在配置文件中指定它们。

   net:
     port: 27017
     bindIp: 127.0.0.1
   security:
     authorization: enabled
   net:
     ssl:
       mode: requireSSL
       PEMKeyFile: /etc/ssl/mongodb.pem
       CAFile: /etc/ssl/ca.pem
   

4. 重启MongoDB服务

   保存配置文件的更改，并重启MongoDB服务以应用这些更改。

   sudo systemctl restart mongod
   

5. 创建管理员用户

   使用 mongo 命令行工具创建一个具有管理员权限的用户。

   mongo
   use admin
   db.createUser({
     user: "adminUser",
     pwd: "securePassword",
     roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
   })
   

6. 配置防火墙

   使用 ufw（Uncomplicated Firewall）限制访问MongoDB的IP地址，只允许受信任的IP地址连接到MongoDB服务器。

   sudo ufw allow from trusted_ip_address/32 port 27017
   sudo ufw reload
   

高级安全措施

1. 启用审计日志

   启用审计日志以记录所有用户的操作，定期审查和分析审计日志以检测异常行为。

   systemLog:
     destination: file
     format: JSON
     path: /var/log/mongodb/audit.json
   

2. 定期备份数据

   定期备份MongoDB的数据，确保备份数据的完整性和可恢复性。可以使用 mongodump 命令进行备份。

   mongodump --out /path/to/backup
   

3. 监控和维护

   利用MongoDB自带的工具（如 mongostat 和 mongotop）监控数据库性能，并定期运行 db.serverStatus() 检查数据库状态。

通过以上步骤，你可以在Ubuntu系统上为MongoDB设置一个坚固的安全防线。请记住，安全是一个持续的过程，建议定期审查配置并保持MongoDB版本更新。