MongoDB在Linux上的安全加固

以下是MongoDB在Linux上的安全加固要点：

1. 启用认证与授权
   • 在/etc/mongod.conf中设置security.authorization: enabled。
   • 创建管理员用户并分配最小权限角色（如root），避免使用默认账户。
2. 配置网络访问控制
   • 通过bindIp限制MongoDB仅监听受信任IP（如127.0.0.1或内网地址）。
   • 使用防火墙（ufw/firewalld）限制端口（默认27017）访问，仅允许必要IP。
3. 加密通信
   • 启用SSL/TLS加密，配置证书路径（PEMKeyFile）并设置ssl.mode=requireSSL。
4. 权限管理
   • 遵循最小权限原则，为不同用户分配特定数据库的读写或管理权限。
   • 定期审计用户权限，删除冗余账户。
5. 安全配置优化
   • 禁用非必要接口（如REST、HTTP），避免通过Web暴露数据库。
   • 使用非特权用户运行MongoDB服务，避免以root权限启动。
6. 日志与监控
   • 启用审计日志记录操作行为，定期分析异常。
   • 监控系统日志和MongoDB日志，及时发现入侵迹象。
7. 系统级安全加固
   • 定期更新MongoDB至最新版本，修复安全漏洞。
   • 限制MongoDB数据文件和配置文件的访问权限（属主mongodb，权限660）。