如何提升MongoDB的安全性

MongoDB提供了一系列元件來提升資料的安全性。資料安全性在MongoDB中是最重要的－因此它利用這些元件來減少曝光面。以下是10個可以用來改善你個人或雲端中MongoDB伺服器安全的小提示。

1. 啟用auth — 即使在可信賴網路中部署MongoDB伺服器時啟用auth也是項目好的安全實務。當你的網路受攻擊時它能夠提供「深層防禦」。編輯設定檔來啟用auth

1

auth = true

2.不要把生產環境的資料庫暴露在Internet上-限制對資料庫的實體存取是安全性的非常重要的一個措施。如果沒有必要，就不要把生產環境的資料庫暴露在Internet上。如果攻擊者無法實體連線到MongoDB伺服器這種情形大打折扣，那麼資料就不會比現在更安全。如果你把服務部署在亞馬遜web服務(AWS)上，那麼你就該把資料庫部署在虛擬私有雲(VPC)的私有子網路裡。有關這方面的更多資訊請閱讀部落格文章"在私有雲(VPC）裡部署MongoDB"。

3.使用防火牆－防火牆的使用可以限制允許哪些實體連接MongoDB伺服器。最佳的措施就是僅僅允許你自己的應用程式伺服器存取資料庫。如果你把無法部署在亞馬遜web服務（AWS)上，你可以使用"安全群組「功能限制存取權限。如果你把服務部署在不支援防火牆功能的提供者的主機上，那麼你可以親自使用"iptables"對伺服器進行簡單的設定。請參考mongodb的文檔，實現對你所面對的具體環境設定iptables。

4.使用key檔案建立複製伺服器叢集－指定共用的key文件，啟用複製叢集的MongoDB實例之間的通訊。如下給設定檔中增加keyfile參數。複製集群裡的所有機器上的這個檔案的內容必須相同。

1

keyFile = /srv/mongodb/keyfile

5.禁止HTTP狀態介面－預設情況下Mongodb在連接埠28017上執行http接口，以提供「主”狀態頁面。在生產環境下建議不要使用此接口，最好禁止這個接口。使用"nohttpinterface"設定可以禁止這個http介面。

1

nohttpinterface = true

6.禁止REST介面-在生產環境下建議不要啟用MongoDB的REST介面。這個介面不支援任何認證。預設情況下這個介面是關閉的。如果你使用的"rest"配置選項打開了這個接口，那麼你應該在生產系統中關閉它。

1

rest = false

7.設定bind_ip- 如果你的系統使用的多個網路接口，那麼你可以使用"bind_ip"選項限制mongodb伺服器只在與該配置項目關聯的介面上偵聽。預設情況下mongoDB綁定所有的介面。

1

bind_ip = 10.10.0.25,10.10.0.26

8.啟用SSL－ 如果你沒有使用SSL，那麼你在MongoDB客戶端和MongoDB伺服器之間傳輸的資料就是明文的，容易受到竊聽、篡改和「中間人」攻擊。如果你是透過像internet這樣的非安全網路連接到MongoDB伺服器，那麼啟用SSL就顯得非常重要。

9.基於角色進行認證－ MongoDB支援基於角色的認證，這樣你就可以對每個使用者可以執行的動作進行細粒度的控制。使用基於角色的認證組建可以限制對資料庫的訪問，而不是所有的用戶都是管理員。更多的資訊請參考有關角色的文檔。 

10.企業級MongoDB與kerberos- 企業級mongodb繼承了kerberos認證。有關這方面的更多資訊請參考mongodb文件。基於使用者名稱/密碼的系統本身就是不安全的，因此如果可能的話，請使用基於kerberos的認證。

以上是如何提升MongoDB的安全性的詳細內容。更多資訊請關注PHP中文網其他相關文章！