Linux下MongoDB如何进行安全配置

在Linux下对MongoDB进行安全配置，可以遵循以下步骤：

1. 启用身份验证

• 编辑配置文件：在 /etc/mongod.conf 文件中，找到或添加以下内容：

  security:
    authorization: enabled
  

• 重启MongoDB服务：使用以下命令重启MongoDB服务以应用更改：

  sudo systemctl restart mongod
  

2. 创建管理员账户

• 连接到MongoDB Shell：

  mongo
  

• 切换到admin数据库：

  use admin
  

• 创建管理员账户：

  db.createUser({
    user: "admin",
    pwd: "your_strong_password",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  })
  

3. 配置网络访问

• 限制远程访问：在 /etc/mongod.conf 文件中配置 bindIp 参数，仅允许特定IP地址或主机名连接。例如，只允许本机访问：

  net:
    bindIp: 127.0.0.1
  

• 禁用HTTP接口：在生产环境中，建议禁用HTTP接口以减少安全风险。在 /etc/mongod.conf 文件中添加：

  net:
    http:
      enabled: false
  

4. 使用TLS/SSL加密

• 生成SSL证书和密钥：使用OpenSSL生成自签名证书：

  sudo openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout /etc/ssl/mongodb.key -out /etc/ssl/mongodb.crt
  

• 配置MongoDB使用SSL：编辑 /etc/mongod.conf 文件，添加SSL配置：

  net:
    ssl:
      mode: requireSSL
      PEMKeyFile: /etc/ssl/mongodb.key
      CAFile: /etc/ssl/mongodb.crt
  

• 重启MongoDB服务：

  sudo systemctl restart mongod
  

5. 启用审计日志

• 配置审计日志：在 /etc/mongod.conf 文件中添加以下参数以启用审计日志记录所有用户的操作：

  security:
    auditLog:
      destination: file
      format: JSON
      path: /var/log/mongodb/audit.json
  

• 重启MongoDB服务：

  sudo systemctl restart mongod
  

6. 配置防火墙

• 使用iptables：限制对MongoDB端口的访问，确保只有受信任的网络可以访问MongoDB实例。

  sudo iptables -A INPUT -p tcp --dport 27017 -s 127.0.0.1 -j ACCEPT
  sudo iptables -A INPUT -p tcp --dport 27017 -j DROP
  

• 使用ufw：

  sudo ufw allow from 127.0.0.1 to any port 27017
  sudo ufw disable
  

7. 定期备份

• 定期备份MongoDB的数据，确保备份数据的完整性和可恢复性。使用 mongodump 和 mongorestore 工具进行备份和恢复。

8. 使用强密码策略

• 为所有用户账户设置复杂且定期更换的密码。

9. 禁用不必要的接口和功能

• 如REST接口、HTTP接口等，以减少潜在的安全风险。

10. 定期更新和打补丁

• 定期检查MongoDB的安全更新和补丁，及时应用最新的安全补丁以修复已知漏洞。