以下是Ubuntu系统上加固MongoDB安全性的关键方法:
-
启用认证与授权
- 在配置文件
/etc/mongod.conf中设置security.authorization: enabled,强制用户认证。 - 创建管理员用户并分配最小必要权限(如
root角色仅用于紧急操作),避免使用默认账户。
- 在配置文件
-
限制网络访问
- 修改
bindIp为特定IP(如127.0.0.1)或可信IP段,禁止非必要远程访问。 - 配合UFW或iptables防火墙,仅允许特定IP访问MongoDB端口(默认27017)。
- 修改
-
加密通信与存储
- 启用SSL/TLS加密传输,配置
net.ssl.mode: requireSSL并指定证书路径。 - 定期更新加密算法,避免使用过时协议。
- 启用SSL/TLS加密传输,配置
-
审计与监控
- 启用审计日志记录用户操作,存储至安全路径(如
/var/log/mongodb/audit.json)。 - 使用
mongostat和mongotop监控数据库性能,定期分析异常行为。
- 启用审计日志记录用户操作,存储至安全路径(如
-
系统配置优化
- 以专用系统用户(如
mongodb)运行MongoDB,限制文件权限。 - 禁用不必要的服务端口,定期更新MongoDB至最新版本以修复漏洞。
- 以专用系统用户(如
-
数据备份与恢复
- 定期使用
mongodump备份数据,存储至加密介质并测试恢复流程。
- 定期使用
参考来源: