安全检查列表
MongoDB还为如何保护MongoDB部署提供了一个建议的操作列表即[安全检查列表]((https://docs.mongodb.com/manual/administration/security-checklist/))
最后更新于:2019-12-05
这个文档提供了一个保护MongoDB应该实施的安全措施列表。这个列表并不是完整无遗的。
生产环境前的检查列表/注意事项
启动访问控制和指定身份认证的机制。你可以使用MongoDB的SCRMA或者x.509身份认证机制或者集成你已经使用的Kerberos/LDAP基础设施。身份认证要求所有的客户端和服务端在连接到系统之前提供有效的凭证。
首先创建一个管理员用户,然后再创建其他的用户。为每一人/应用程序创建唯一的用户以访问系统。
遵循最小权限原则。为一组用户创建他们所需的确切访问权限的角色。然后创建用户并且仅为他们分配执行操作所需的角色。一个用户可以是个人或者一个客户端程序。
提示:一个用户在不同数据库可以拥有不同的权限。如果一个用户要求在多个数据库的权限,使用有多个可授予适当数据库权限的角色来创建一个单一用户,而不是给不同的数据库创建多个用户。
从4.0版本开始,MongoDB使用操作系统原生的TLS/SSL库:
操作系统 | 使用的系统库 |
---|---|
Linux/BSD | OpenSSL |
macOS | Secure Transport |
注意
如果你没有使用WiredTiger的静态加密,MongoDB的数据应该在每台主机上使用文件系统、设备或物理加密(例如dm-crypt)。使用文件系统权限保护MongoDB数据。MongoDB数据包括数据文件、配置文件、审计日志以及秘钥文件。
将日志收集到一个中央日志存储区。这些日志包含了DB身份认证尝试及其源IP地址.
确保MongoDB运行在受信任的网络环境中并且配置防火墙或者安全组来控制MongoDB实例的入站和出站流量。
只允许受信任的客户端访问MongoDB实例所在的网络接口和端口。例如,使用白名单机制允许受信任的IP地址访问。
注意从MongoDB 3.6开始,MongoDB的二进制文件:mongod
和mongos
会默认绑定在localhost
上。MongoDB 2.6到3.4版本,只有官方MongoDB RPM(Red Hat、CentOS、Fedora Linux和衍生品)和DEB(Debian、Ubuntu和衍生品)包中的二进制文件默认绑定在localhost。了解更多关于这个改变的信息,请参阅localhost绑定兼容变更
请参阅: