MongoDB 服务安全加固
前言
安装完MongoDB服务后默认有一个admin数据库,此时admin数据库是空的,没有记录任何权限相关的信息。当admin.system.users一个用户都没有时,即使MongoDB启动时添加了—auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否以—auth 参数启动),直到在admin.system.users中添加一个用户。加固的核心方案是实现只有在admin.system.users中添加用户之后,MongoDB的认证、授权服务才能生效。
重要提示: 如果您需要自己搭建MongoDB数据库,推荐使用yum rpm方式安装MongoDB Server 服务。
所有配置,推荐以配置文件形式保存配置。
[mongodb@hezhiqiang bin]$ vim /path/mongod.conf
1.修改默认端口
修改默认的MongoDB 端口(默认为:TCP 27017)为其他端口。
2.不要把MongoDB服务器直接部署在互联网或者DMZ上
3.使用--bind_ip 选项。
该选项可以限制监听接口IP,当在启动MongoDB的时候,使用--bind_ip 192.168.0.1
表示启动IP地址绑定,数据库实例将只监听192.168.0.1的请求。
4.启动基于角色的登录认证功能。
在admin数据库中创建用户,如用户名hezhiqiang
,密码abc123qqq...A
(此处为举例说明,请勿使用此账号密码)。
1. 在未开启认证的环境下,登录到数据库。
[mongodb@hezhiqiang bin]$ ./mongo 127.0.0.1:27028 (此处修改了默认端口)
MongoDB shell version: 2.0.1
connecting to: 127.0.0.1:27028/test
2. 切换到admin数据库。
> use admin
switched to db admin
3. 创建管理员账号。
> db.addUser("hezhiqiang", "abc123qqq...A")或
>db.createUser({user:"hezhiqiang",pwd:"abc123qqq...A",roles:["root"]})
{ "n" : 0, "connectionId" : 4, "err" : null, "ok" : 1 }
{
"user" : "hezhiqiang",
"readOnly" : false,
"pwd" : "51a481f72b8b8218df9fee50b3737c44",
"_id" : ObjectId("4f2bc0d357a309043c6947a4")
}
管理员账号将在system.users中。
> db.getCollectionNames()
[ "system.indexes", "system.users", "system.version" ]
4. 验证用户是否创建成功。
> db.auth("hezhiqiang","abc123qqq...A")
> exit
bye
5. 结束进程,重启MongoDB服务。
./mongod --dbpath=/path/mongodb --bind_ip=192.168.0.1 --port=27028 --fork=true logpath=/path/mongod.log &
5.禁用HTTP和REST端口
MongoDB自身带有一个HTTP服务和并支持REST接口(在V2.6以后这些接口默认是关闭的)。MongoDB默认使用默认端口监听Web服务,一般不需要通过Web方式进行远程管理,建议禁用。
修改配置文件或在启动的时候选择–nohttpinterface
参数即可。
nohttpinterface = false
6.开启日志审计功能
审计功能可以用来记录用户对数据库的所有相关操作。这些记录可以让系统管理员在需要的时候分析数据库在什么时段发生了什么事情。
7. 使用SSL加密功能
MongoDB集群之间以及从客户端连接到MongoDB实例的连接应该使用SSL。使用SSL对性能没有影响并且可以防范类似于man-in-the-middle的攻击。
注意:MongoDB社区版默认并不支持SSL,您可以选用MongoDB企业版(支持SSL),或者从源码重新编译MongoDB并使用—ssl
选项来获得SSL功能。
启动MongoDB服务时加载配置文件。
[mongodb@hezhiqiang bin]$ ./mongod -f /path/mongod.conf
8. 对业务关键敏感数据进行加密存储
建议您梳理业务数据,对关键的敏感数据加密后入库,例如:账号、密码、邮箱地址、手机号码、身份ID等其他数据。加密算法推荐选择国际通用加密算法和多次加盐组合自定义算法,防止加密算法被破解。
即使黑客获取数据后,也查看不了数据,通过“看不懂”的数据加密方式将损失降到最低。
9. 对数据进行本地异地备份
完善的备份策略是保证数据安全的最后一根救命稻草。
推荐:本地备份+远程备份存储方案
MongoDB备份方式:
>mongodump -h dbhost -d dbname -o dbdirectory
• -h:MongDB所在服务器地址,例如:127.0.0.1,指定端口号:127.0.0.1:27017
• -d:需要备份的数据库实例,例如:test
• -o:备份的数据存放位置,例如:c:\data\dump,该目录需要提前建立,在备份完成后,系统自动在dump目录下建立一个test目录,这个目录里面存放该数据库实例的备份数据。
MongoDB数据恢复:
>mongorestore -h dbhost -d dbname --directoryperdb dbdirectory
• -h:MongoDB所在服务器地址
• -d:需要恢复的数据库实例,例如:test,这个名称也可以和备份时候的不一样,比如test2。
• --directoryperdb:备份数据所在位置,例如:c:\data\dump\test。
• --drop:恢复的时候,先删除当前数据,然后恢复备份的数据。就是说,恢复后,备份后添加修改的数据都会被删除,慎用!
Mongodump命令可选参数列表如下所示

备份策略:
全量备份:可以最快的时间快速恢复所有数据,缺点是备份成本大,时间长。
全量备份+增量备份:可以较快的恢复所有数据,缺点是恢复时间长,如果增量数据有问题,无法恢复所有数据。
搭建从库:直接切换到从库,前提是从库的数据安全可靠。
最后更新于
这有帮助吗?