以下是在Ubuntu上为MongoDB设置安全措施的步骤:
安装MongoDB
sudo apt update
sudo apt install -y mongodb
启用认证
编辑配置文件 /etc/mongod.conf,添加:
security:
authorization: enabled
重启服务:
sudo systemctl restart mongod
限制IP访问
在配置文件中设置 bindIp(仅允许可信IP,如本地或特定服务器IP):
net:
bindIp: 127.0.0.1,192.168.1.100 # 示例:允许本地和指定IP
重启服务。
配置防火墙
使用 ufw 限制端口访问(默认27017):
sudo ufw allow from 192.168.1.100 to any port 27017 # 允许特定IP
sudo ufw enable
创建管理员用户
进入MongoDB shell:
mongo
use admin
db.createUser({
user: "adminUser",
pwd: "强密码",
roles: [{ role: "root", db: "admin" }]
})
启用SSL/TLS加密(可选)
配置证书路径(需提前准备证书):
net:
ssl:
mode: requireSSL
sslPEMKeyFile: /path/to/ssl.pem
sslCAFile: /path/to/ca.pem
重启服务。
启用审计日志(可选)
在配置文件中添加:
systemLog:
destination: file
path: /var/log/mongodb/audit.json
format: JSON
重启服务。
定期备份数据
使用 mongodump 命令备份数据:
mongodump --out /path/to/backup
注意:生产环境中需根据实际需求调整配置,定期更新MongoDB版本并监控安全日志。