首页 / GO / MongoDB 安全配置
MongoDB 安全配置
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了MongoDB 安全配置,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1578字,纯文字阅读大概需要3分钟。
内容图文
前言
随着MongoDB使用人群企业越来越广泛,黑客的注意力也转移到了其中。比如去年很火热的MongoDB劫持事件,很多人对MongoDB的安全也越来越重视。今天,我们就简单总结一些MongoDB的安全防护。首先,关于这方面的内容,官方也有说明,参考如下链接: https://docs.mongodb.com/manual/administration/security-checklist/ ;
1、启用访问控制和强制认证
打开认证,创建认证用户:
- 在admin数据库中,创建一个
admin用户
use admin
db.createUser(
{
user: "myUserAdmin",
pwd: "abc123",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)
- 对具体的库进行授权
use reporting
db.createUser(
{
user: "reportsUser",
pwd: "12345678",
roles: [
{ role: "read", db: "reporting" },
{ role: "read", db: "products" },
{ role: "read", db: "sales" },
{ role: "readWrite", db: "accounts" }
]
}
)
提示:在启动项中加入 --auth 或者在配置文件中加入 security.authorization: enabled。并且,MongoDB还可以使用外部系统进行认证,比如LADP等;
2、配置基于角色的访问控制
这里需要明确的是,MongoDB的基本安全分为两种,一种是认证,一种是鉴权。其实英语会说的比较明白点: authorization, authentication。
认证是作为用户登录的一种账号密码校验,类似MySQL 的 root/password ,在大部分应用中,一旦创建一个连接(用于连接池的),那么该连接只会做一次,所以大可不必担心因为认证而带来的开销。
鉴权是在数据库中的账号拥有的权限做鉴定,类似MySQL中的privilege。
3、基于TSL的双向认证
打开MongoDB 的TLS/SSl 的配置,社区版需要下载一个SSL版本,或者可以从社区版通过升级步骤升级到SSl版本,企业版自带SSL。
SSL 可以保证MongoDB的 所有连接(输入和输出的连接)都是加密的。
4、限制网络暴露
通过指定 bindip,以及Linux通过iptables来限制访问的IP地址等,并在生产线上关闭 MongoDB 的 HTTP 接口和 REST API来达到规避网络进口的安全问题。
iptables -A INPUT -s <ip-address> -p tcp --destination-port 27017 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -d <ip-address> -p tcp --source-port 27017 -m state --state ESTABLISHED -j ACCEPT
5、创建MongoDB专门的运行用户
使用 mongodb 用户启动MongoDB,而不是使用 root 用户;
useradd -M mongodb -s /bin/nologin sudo -u mongodb -s
6、使用安全配置项运行MongoDB
原文:http://www.cnblogs.com/yangxiaoyi/p/7504080.html
内容总结
以上是互联网集市为您收集整理的MongoDB 安全配置全部内容,希望文章能够帮你解决MongoDB 安全配置所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。