MongoDB提供了一系列組件來提升數據的安全性��。數據安全在MongoDB中是最重要的——因此它利用這些組件來減少曝光面�����。下面是10個可以用來改善你個人或云中MongoDB服務器安全的小提示�。
1. 啟用auth — 即使在可信賴網絡中部署MongoDB服務器時啟用auth也是項好的安全實踐����。當你的網絡受攻擊時它能夠提供“深層防御”。編輯配置文件來啟用auth
1
auth = true
2.不要把生產環境的數據庫暴露在Internet上-限制對數據庫的物理訪問是安全性的非常重要的一個措施�����。如果沒有必要��,就不要把生產環境的數據庫暴露在Internet上�。如果攻擊者不能物理地連接到MongoDB服務器這種情形大打折扣,那么數據就不會比現在更安全�����。如果你把服務部署在亞馬遜web服務(AWS)上,那么你應當把數據庫部署在虛擬私有云(VPC)的私有子網里��。有關這方面的更多信息請閱讀博客文章"在私有云(VPC)里部署MongoDB"�����。
3.使用防火墻-防火墻的使用可以限制允許哪些實體連接MongoDB服務器��。最佳的措施就是僅僅允許你自己的應用服務器訪問數據庫��。如果你把無法部署在亞馬遜web服務(AWS)上��,你可以使用"安全組“功能限制訪問權限����。如果你把服務部署在不支持防火墻功能的提供商的主機上,那么你可以親自使用"iptables"對服務器進行簡單的配置�����。請參考mongodb的文檔���,實現對你所面對的具體環境配置iptables。
4.使用key文件建立復制服務器集群-指定共享的key文件�����,啟用復制集群的MongoDB實例之間的通信。如下給配置文件中增加keyfile參數�。復制集群里的所有機器上的這個文件的內容必須相同。
1
keyFile = /srv/mongodb/keyfile
5.禁止HTTP狀態接口- 默認情況下Mongodb在端口28017上運行http接口���,以提供“主”狀態頁面���。在生產環境下推薦不要使用此接口,最好禁止這個接口��。使用"nohttpinterface"配置設置可以禁止這個http接口��。
1
nohttpinterface = true
6.禁止REST接口-在生產環境下建議不要啟用MongoDB的REST接口�����。這個接口不支持任何認證�����。默認情況下這個接口是關閉的����。如果你使用的"rest"配置選項打開了這個接口����,那么你應該在生產系統中關閉它��。
1
rest = false
7.配置bind_ip- 如果你的系統使用的多個網絡接口���,那么你可以使用"bind_ip"選項限制mongodb服務器只在與該配置項關聯的接口上偵聽��。默認情況下mongoDB綁定所有的接口����。
1
bind_ip = 10.10.0.25,10.10.0.26
8.啟用SSL- 如果你沒有使用SSL��,那么你在MongoDB客戶端和MongoDB服務器之間的傳輸的數據就是明文的���,容易受到竊聽���、篡改和“中間人”攻擊。如果你是通過像internet這樣的非安全網絡連接到MongoDB服務器���,那么啟用SSL就顯得非常重要。
9.基于角色進行認證- MongoDB支持基于角色的認證��,這樣你就可以對每個用戶可以執行的動作進行細粒度的控制。使用基于角色的認證組建可以限制對數據庫的訪問�����,而不是所有的用戶都是管理員�。更多的信息請參考有關角色的文檔。
10.企業級MongoDB與kerberos- 企業級mongodb繼承了kerberos認證��。有關這方面的更多信息請參考mongodb文檔��?����;谟脩裘?密碼的系統本身就是不安全的����,因此如果可能的話,請使用基于kerberos的認證��。
