MongoDB如何在Linux上进行安全审计

以下是在Linux上对MongoDB进行安全审计的步骤，需使用MongoDB企业版（社区版不支持审计功能）：

1. 前提准备

• 确保已安装MongoDB企业版，并启用认证（security.authorization: enabled）。
• 创建专用用户运行MongoDB服务，避免使用root权限。

2. 配置审计功能

通过修改配置文件/etc/mongod.conf启用审计，关键参数如下：

security:  
  authorization: enabled  # 启用认证  
  auditLog:  
    destination: file    # 日志输出方式（file/syslog）  
    format: JSON         # 日志格式（JSON/BSON）  
    path: /var/log/mongodb/audit.json  # 日志路径  
    filter: '{ "atype": { "$in": ["authCheck", "insert", "update", "delete"] } }'  # 可选：过滤需记录的事件类型  

• 说明：
  • atype可指定审计事件类型，如authCheck（认证检查）、insert（插入操作）等。
  • 若需记录系统事件（如启动/关闭），需在filter中添加对应类型。

3. 创建日志目录并授权

sudo mkdir -p /var/log/mongodb  
sudo chown mongodb:mongodb /var/log/mongodb  # 确保MongoDB用户有写入权限  

4. 重启MongoDB服务

sudo systemctl restart mongod  

5. 验证审计日志

• 查看日志文件内容（JSON格式）：

  cat /var/log/mongodb/audit.json | jq  # 使用jq工具格式化查看  
  

• 示例日志内容：

  {  
    "atype": "insert",  
    "ts": ISODate("2025-08-17T12:00:00Z"),  
    "localAddress": "127.0.0.1:27017",  
    "user": "admin",  
    "db": "testDB",  
    "collection": "users",  
    "operation": "insert",  
    "documentKey": { "_id": ObjectId("...") }  
  }  
  

6. 高级配置（可选）

• 日志轮转：通过logrotate工具定期清理旧日志，避免磁盘占满。
• 集中管理：在Kubernetes环境中，可通过ConfigMap挂载审计配置。

注意事项

• 性能影响：审计功能会增加数据库负载，建议根据业务需求调整filter参数，避免记录过多冗余信息。
• 权限控制：确保审计日志文件仅允许授权用户访问，防止敏感信息泄露。

参考来源：