安全检查列表

MongoDB还为如何保护MongoDB部署提供了一个建议的操作列表即安全检查列表)

最后更新于：2019-12-05

这个文档提供了一个保护MongoDB应该实施的安全措施列表。这个列表并不是完整无遗的。

生产环境前的检查列表/注意事项

➤启动访问控制和强制身份认证

启动访问控制和指定身份认证的机制。你可以使用MongoDB的SCRMA或者x.509身份认证机制或者集成你已经使用的Kerberos/LDAP基础设施。身份认证要求所有的客户端和服务端在连接到系统之前提供有效的凭证。

请参阅身份认证和开启访问控制。

➤ 配置基于角色的访问控制

首先创建一个管理员用户，然后再创建其他的用户。为每一人/应用程序创建唯一的用户以访问系统。

遵循最小权限原则。为一组用户创建他们所需的确切访问权限的角色。然后创建用户并且仅为他们分配执行操作所需的角色。一个用户可以是个人或者一个客户端程序。

提示：

一个用户在不同数据库可以拥有不同的权限。如果一个用户要求在多个数据库的权限，使用有多个可授予适当数据库权限的角色来创建一个单一用户，而不是给不同的数据库创建多个用户。

请参阅基于角色的访问控制和用户与角色管理。

➤ 加密通信（TLS/SSL）

配置MongoDB为所有传入和传出连接使用TLS/SSL。使用TLS/SSL加密MongoDB部署的mongod和mongos组件以及所有应用程序和MongoDB之间的通信。

从4.0版本开始，MongoDB使用操作系统原生的TLS/SSL库：

操作系统	使用的系统库
Linux/BSD	OpenSSL
macOS	Secure Transport

注意

从4.0版本开始，在支持TLS1.1+的系统上，MongoDB会禁用TLS1.0加密。更多详细信息，请参阅禁用TLS1.0.

请参阅使用TLS/SSL配置mongod和mongos

➤加密和保护数据

从MongoDB 3.2企业版开始，你可以使用WiredTiger存储引擎的本地静态加密来加密存储层的数据。

如果你没有使用WiredTiger的静态加密，MongoDB的数据应该在每台主机上使用文件系统、设备或物理加密（例如dm-crypt）。使用文件系统权限保护MongoDB数据。MongoDB数据包括数据文件、配置文件、审计日志以及秘钥文件。

将日志收集到一个中央日志存储区。这些日志包含了DB身份认证尝试及其源IP地址.

➤ 限制网络暴露

确保MongoDB运行在受信任的网络环境中并且配置防火墙或者安全组来控制MongoDB实例的入站和出站流量。

只允许受信任的客户端访问MongoDB实例所在的网络接口和端口。例如，使用白名单机制允许受信任的IP地址访问。

注意

从MongoDB 3.6开始，MongoDB的二进制文件：mongod和mongos会默认绑定在localhost上。MongoDB 2.6到3.4版本，只有官方MongoDB RPM（Red Hat、CentOS、Fedora Linux和衍生品）和DEB（Debian、Ubuntu和衍生品）包中的二进制文件默认绑定在localhost。了解更多关于这个改变的信息，请参阅localhost绑定兼容变更

请参阅：

禁用直接SSH root访问。

➤系统活动审计

跟踪对数据库配置和数据的访问和更改。MongoDB企业版包含了一个系统审计工具，可以记录MongoDB实例上的系统事件（例如用户操作、连接事件）。这些审计记录使审查分析得以进行并且允许管理员去验证适当的控制。可以设置过滤器来记录特定的事件，例如身份认证事件。

请参阅Auditing 和Configure Auditing

➤使用专用用户运行MongoDB

使用一个专用的操作系统账户运行MongoDB进程。确保这个账户除了访问数据，没有不必要的权限。

关于运行MongoDB的更多信息，请参阅MongoDB安装

➤ 使用安全的配置选项运行MongoDB

MongoDB支持使用JavaScript代码对服务器端执行特定的操作，包括：mapReduce和$where。如果你不使用这些操作，在命令行使用--noscripting选项来禁用服务器端脚本。

确保启用了输入验证。MongoDB默认通过net.wireObjectCheck设置启用输入验证。这确保了mongod实例存储的所有文档都是有效的BSON。

请参阅：网络和配置加固