MongoDB-安全加固/安全基线

01

—

 

及时进行补丁更新

 

官网查询补丁更新情况，下载并进行更新，修复已知漏洞。

 

 

 

 

02

—

 

启用账户认证

 

打开配置文件<mongod.conf>，设置auth=true；如果配置文件为yaml格式，则在security选项下设置authorization:enabled;

 

 

03

—

 

开启用户只读

 

1. 创建一个新的只读用户

db.createUser({

  user: "readonlyUser",

  pwd: "readonlyPass",

  roles: [ { role: "read", db: "yourDatabase" } ]

})

 

 

2. #或者修改现有用户使其为只读

db.updateUser("existingUser", {

  roles: [ { role: "read", db: "yourDatabase" } ]

})

 

 

注：当开启账户认证后，可以查看账号是否设置了只读权限，如果该账户只需要只读权限，应设置只读。使用 db.system.users.find()命令，查看 readOnly 字段是否设置为 false

 

 

04

—

 

修改默认端口

 

vi /etc/mongod.conf

port = XXXX       #需要的端口

 

 

 

05

—

 

配置文件安全

 

 检查mongod.conf 权限是否为644

 

 

 

06

—

 

网络访问控制

 

修改mongod.conf，添加如下行：bind_ip=xx.xx.xx.xx

如果只允许本机访问，可设置为 bind_ip=127.0.0.1

设置完毕需要重启服务

 

 

07

—

 

检查MongoDB系统日志配置

 

 

按如下设置，如果前面有”#”注释符，删除注释符。

logpath=/var/log/mongo/mongod.log #日志路径logappend=true #以追加方式写入日志

verbose = true #开启更详细的日志记录