以下是Ubuntu版MongoDB的安全配置步骤:
-
安装MongoDB
使用官方仓库安装,确保版本安全:sudo apt-get update sudo apt-get install -y mongodb-org -
创建专用用户与数据目录权限
- 创建系统用户:
sudo adduser --system --group --disabled-login --no-create-home mongodb - 设置数据目录权限:
sudo mkdir -p /data/db sudo chown -R mongodb:mongodb /data/db
- 创建系统用户:
-
启用认证与授权
编辑配置文件/etc/mongod.conf:security: authorization: enabled # 启用认证重启服务生效:
sudo systemctl restart mongod -
创建管理员用户
进入MongoDB Shell:mongo use admin db.createUser({ user: "adminUser", pwd: "强密码", roles: [{ role: "root", db: "admin" }] }) -
限制网络访问
- 修改配置文件绑定IP(仅允许可信IP):
net: bindIp: 127.0.0.1 # 生产环境建议限制为特定IP port: 27017 - 使用防火墙(ufw)限制端口访问:
sudo ufw allow from 可信IP/32 to any port 27017 sudo ufw reload
- 修改配置文件绑定IP(仅允许可信IP):
-
加密传输(可选)
配置SSL/TLS(需提前准备证书):net: ssl: mode: requireSSL PEMKeyFile: /path/to/ssl.pem CAFile: /path/to/ca.pem -
定期维护与监控
- 备份数据:使用
mongodump定期备份。 - 更新系统与MongoDB补丁:
sudo apt-get update && sudo apt-get upgrade - 监控日志:通过
systemLog配置记录操作日志。
- 备份数据:使用
注意:生产环境需根据实际需求调整配置,优先参考MongoDB官方安全指南。