Debian MongoDB安全配置指南

在Debian系统上配置MongoDB时，安全性是一个重要的考虑因素。以下是一个基本的指南，涵盖了MongoDB的安装、基本配置以及安全增强措施。

安装MongoDB

首先，确保你的Debian系统是最新的：

sudo apt update && sudo apt upgrade -y

添加MongoDB官方仓库：

wget -qO - https://www.mongodb.org/static/pgp/server-6.0.asc | sudo apt-key add -
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/debian bullseye/mongodb-org/6.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.list
sudo apt update
sudo apt install -y mongodb-org

启动MongoDB服务并设置开机自启：

sudo systemctl start mongod
sudo systemctl enable mongod

基本配置

编辑MongoDB配置文件 /etc/mongod.conf：

sudo vim /etc/mongod.conf

• net:

  • port: 27017（默认端口）
  • bindIp: 127.0.0.1（默认绑定到本地）

• security:

  • authorization: enabled（启用用户认证）

保存文件后，重启MongoDB服务以应用更改：

sudo systemctl restart mongod

安全增强措施

1. 绑定局域网IP：

   编辑 /etc/mongod.conf 文件，将 bindIp 设置为你的局域网IP地址，例如：

   net:
     port: 27017
     bindIp: 192.168.1.100
   

   这样只有局域网内的节点可以访问MongoDB。

2. 配置防火墙：

   使用 ufw（Uncomplicated Firewall）允许27017端口：

   sudo ufw allow 27017
   

3. 创建管理员账户：

   连接到MongoDB shell：

   mongo
   

   创建一个管理员账户：

   use admin
   db.createUser({
     user: "admin",
     pwd: "yourStrongPassword",
     roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
   })
   

4. 启用SSL/TLS：

   为了加密客户端和服务器之间的通信，可以配置MongoDB使用SSL/TLS。这需要生成SSL证书和密钥，并在配置文件中指定它们。

5. 限制远程访问：

   确保MongoDB只监听本地接口，或者只允许特定的IP地址访问。在 /etc/mongod.conf 文件中，将 bindIp 设置为 127.0.0.1 或具体的IP地址。

6. 定期更新MongoDB：

   保持MongoDB软件的最新状态，以获取最新的安全修复和功能改进。

以上步骤提供了一个基本的Debian MongoDB安全配置指南。根据你的具体需求和环境，可能还需要进行其他配置，例如设置备份策略、监控和日志记录等。