Ubuntu MongoDB安全加固配置建议

在Ubuntu系统上对MongoDB进行安全加固是一个涉及多个方面的过程，以下是一些关键的步骤和建议：

安装和配置MongoDB

• 安装MongoDB：使用 sudo apt-get install -y mongodb-org 命令安装MongoDB。
• 创建数据目录并设置权限：使用 sudo mkdir -p /data/db 创建数据目录，并使用 sudo chown -R mongodb:mongodb /data/db 设置权限。
• 编辑MongoDB配置文件：使用 sudo nano /etc/mongod.conf 编辑配置文件，添加或修改以下内容：

  security: authorization: enabled 

• 重启MongoDB服务：使用 sudo systemctl restart mongod 重启MongoDB服务。

启用IP绑定

• 编辑MongoDB配置文件 /etc/mongod.conf，添加或修改以下内容：

  net: port: 27017 bindIp: 127.0.0.1,192.168.1.100 

• 重启MongoDB服务以应用更改。

用户权限管理

• 切换到MongoDB shell：mongo
• 切换到admin数据库：use admin
• 创建管理员用户：

  db.createUser({ user: "yourAdminUsername", pwd: "yourAdminPassword", roles: [ { role: "root", db: "admin" } ] }) 

• 退出MongoDB shell。

启用TLS/SSL加密

• 生成SSL证书和密钥：

  openssl req -newkey rsa:2048 -new -x509 -days 365 -nodes -out mongodb-cert.crt -keyout mongodb-cert.key 

• 启动MongoDB服务器时指定SSL证书和密钥：

  mongod --sslPEMKeyFile mongodb-cert.key --sslMode requireSSL 

• 使用SSL连接到MongoDB：

  mongo --ssl --sslPEMKeyFile mongodb-cert.key 

防火墙配置

• 使用UFW配置防火墙规则，允许特定端口（如27017）和特定IP地址的访问：

  sudo ufw allow from 192.168.1.100 to any port 27017 

• 重启防火墙服务：sudo ufw enable

审计日志

• 启用审计功能，记录用户对数据库的所有相关操作，以便在需要时分析。

定期更新和维护

• 保持MongoDB和Ubuntu系统的更新，以便及时修复已知的安全漏洞。