以下是Ubuntu系统上加固MongoDB安全性的关键方法：

1. 启用认证与授权

   • 在配置文件/etc/mongod.conf中设置security.authorization: enabled，强制用户认证。
   • 创建管理员用户并分配最小必要权限（如root角色仅用于紧急操作），避免使用默认账户。

2. 限制网络访问

   • 修改bindIp为特定IP（如127.0.0.1）或可信IP段，禁止非必要远程访问。
   • 配合UFW或iptables防火墙，仅允许特定IP访问MongoDB端口（默认27017）。

3. 加密通信与存储

   • 启用SSL/TLS加密传输，配置net.ssl.mode: requireSSL并指定证书路径。
   • 定期更新加密算法，避免使用过时协议。

4. 审计与监控

   • 启用审计日志记录用户操作，存储至安全路径（如/var/log/mongodb/audit.json）。
   • 使用mongostat和mongotop监控数据库性能，定期分析异常行为。

5. 系统配置优化

   • 以专用系统用户（如mongodb）运行MongoDB，限制文件权限。
   • 禁用不必要的服务端口，定期更新MongoDB至最新版本以修复漏洞。

6. 数据备份与恢复

   • 定期使用mongodump备份数据，存储至加密介质并测试恢复流程。

参考来源：