如何安全地配置一个生产环境的MongoDB服务器?

如何安全地配置一个生产环境MongoDB服务器?



安全配置一个生产环境MongoDB服务器

如果MongoDB是一个为你提供选择的文档存储器,那么这篇文章会帮助你,安全妥善地配置一切就绪的生产环境。

 

MongoDB安装指南包括了如何在一个droplet上安装MongoDB

 

请您阅读安全与认证官方文件

 

步骤

推荐两个不同的方法,但都可行。第一个是通过一个SSH通道安全地连接到你的数据库。另一个是允许在网上可以访问到你的数据库。两种方法,推荐前者。

 

通过SSH通道连接

通过一个SSH通道连接到你的Mongo虚拟专用服务器,你可以避免很多潜在的安全问题。警告:你的VPS一定要完全锁定,不能对其他端口开放。建议SSH配置为只有秘钥或秘钥加密码。

要建立一个SSH通道,你需要保证:

·         你可以通过SSH进入你的Mongo Droplet

·         你的Mongo实例绑定到本地主机

 

然后,运行以下命令来初始化连接:

# The \s are just to multiline the command and make it more readable
ssh \
-L 4321:localhost:27017 \
-i ~/.ssh/my_secure_key \
ssh_user@mongo_db_droplet_host_or_ip


我们一步一步来看:

1.SSH通道只需要SSH,你不需要其他特别的程序/二进制文件。

2.通过SSH进入MongoDB Droplet时, `-L` 选项会告诉SSH设置一个通道,让当前机器的4321端口传输到27017端口的主机 `localhost`

3.`-i` 选项只是表示将上面的连接到一个SSH秘钥,而不是一个密码。

4      `ssh_user@mongo_db_droplet_host_or_ip` 是建立一个SSH连接的标准。

第二条是真正的精华,决定你怎样告诉你的应用程序或服务器连接到你的MongoDB Droplet

 

通过互联网连接

如果通过SSH通道连接不是一个必然的选择,你可以通过互联网连接,在这里有一些安全策略需要考虑。

首先是要使用非标准端口。这更多的像是一种模糊处理的技术,意思是默认连接适配器没有用处。

# In your MongoDB configuration file, change the following line to something other than 27017
port = 27017

 

第二,你要把Mongo直接绑定到你的应用程序服务器的IP地址上,这意味着Mongo会只接受连接。

# In your MongoDB configuration file, change the following line to your application server's IP address
bind_ip = 127.0.0.1

 

最后是,可以考虑使用MongoDB的认证功能,并设置一个用户名和密码。要进行这项设置,需将MongoDb shell作为管理员与 `mongo` 命令连接,并添加一个用户。完成时,要确认你是在MongoDB连接字符串上增加新添加的用户名/密码。

 

结论

希望您明白,对于MongoDB安全性来说,以上内容只是一个开始,而非全部或结束。有个关键因素没有提到,是服务器防火墙规则。在他们的安全文档里,可以看到对于MongoDB10gen防火墙有怎样的建议。

 

资源

·         http://serverfault.com/questions/237762/how-to-make-a-secure-mongodb-server

·         http://security.stackexchange.com/questions/7610/how-to-secure-a-mongodb-instance/7655#7655

·         http://www.mongodb.org/display/DOCS/Home

·         http://www.mongodb.org/display/DOCS/Security+and+Authentication

·         http://hamant.net/2011/05/09/ssh-tricks/


你可能感兴趣的:(DB,mongo)