以下是CentOS环境下MongoDB的安全加固措施:
-
认证与授权
- 启用认证:在
/etc/mongod.conf中设置security.authorization: enabled。
- 创建管理员用户并分配角色(如
userAdminAnyDatabase),使用强密码。
- 基于角色控制(RBAC)限制用户权限,遵循最小权限原则。
-
网络与通信安全
- 绑定IP:在
/etc/mongod.conf中通过bindIp限制仅允许受信任IP访问(如127.0.0.1)。
- 启用SSL/TLS加密传输数据,配置证书路径。
- 配置防火墙(如
firewalld)限制MongoDB端口(默认27017)的访问。
-
系统与配置安全
- 禁用不必要的端口和服务,减少攻击面。
- 避免使用
root用户运行MongoDB,使用专用用户。
- 定期更新MongoDB至最新版本,及时应用安全补丁。
-
审计与监控
- 启用审计日志记录操作行为,定期分析异常。
- 监控系统资源、网络流量及异常登录行为,设置告警规则。
-
数据安全
- 定期备份数据,验证备份完整性,存储在安全位置。
- 敏感数据可考虑加密存储(如使用MongoDB企业版加密引擎或第三方方案)。
-
其他优化
- 禁用HTTP接口和REST API(若无需使用)。
- 若启用SELinux,调整策略避免权限冲突。
参考来源: