### 希望看完本章，能幫你加強數據的安全性，沒有最安全，只有更安全 看到群里有小伙伴發的截圖，趕緊寫了這篇文章，希望能幫助到大家。  ## 數據庫安全清單 **1、啟用訪問控制并強制執行身份驗證** ? >啟用訪問控制并指定身份驗證機制。可以使用MongoDB的SCRAM或x.509身份驗證機制，也可以與現有的Kerberos / LDAP基礎結構集成。身份驗證要求所有客戶端和服務器在連接到系統之前都必須提供有效的憑據。 **2、配置基于角色的訪問控制** ? >首先創建一個用戶管理員，然后創建其他用戶。為訪問系統的每個人/應用程序創建一個唯一的MongoDB用戶。 遵循最小特權原則。創建角色，以定義一組用戶所需的確切訪問權限。然后創建用戶，并僅為其分配執行操作所需的角色。用戶可以是個人或客戶端應用程序。 用戶可以在不同的數據庫之間擁有特權。如果用戶需要對多個數據庫的特權，請創建一個具有授予適用數據庫特權的角色的單個用戶，而不是在不同的數據庫中多次創建該用戶。 **3、加密通信（TLS / SSL）** ? 配置MongoDB以對所有傳入和傳出連接使用TLS / SSL。使用TLS / SSL加密MongoDB部署的mongod和mongos組件之間以及所有應用程序和MongoDB之間的通信。 >從版本4.0開始，MongoDB使用本機TLS / SSL OS庫： Windows安全通道（Schannel） Linux / BSD OpenSSL macOS安全傳輸 從版本4.0開始，MongoDB在可用TLS 1.1+的系統上禁用對TLS 1.0加密的支持。 **4、加密和保護數據** >從MongoDB Enterprise 3.2開始，可以使用WiredTiger存儲引擎的本機靜態加密來加密存儲層中的數據。 ?不使用WiredTiger的加密功能，則應在每個主機上使用文件系統，設備或物理加密（例如dm-crypt）對MongoDB數據進行加密。使用文件系統權限保護MongoDB數據。 MongoDB數據包括數據文件，配置文件，審核日志和密鑰文件。 ?將日志收集到中央日志存儲中。這些日志包含DB身份驗證嘗試，包括源IP地址。 **5、網絡限制** ? 確保MongoDB在受信任的網絡環境中運行，并配置防火墻或安全組以控制MongoDB實例的入站和出站流量。 僅允許受信任的客戶端訪問可使用MongoDB實例的網絡接口和端口。例如，使用IP白名單來允許從受信任的IP地址進行訪問。 >可以網絡和配置強化: net.bindIp配置設置 security.clusterIpSourceWhitelist配置設置 authentication限制，用于指定每用戶IP白名單 ?禁用直接SSH訪問 **6、系統訪問審計** >企業版支持: 跟蹤對數據庫配置和數據的訪問和更改。 MongoDB Enterprise包含系統審核工具，可以記錄MongoDB實例上的系統事件（例如，用戶操作，連接事件）。這些審核記錄可以進行法醫分析，并允許管理員驗證適當的控制措施。您可以設置過濾器以記錄特定事件，例如身份驗證事件。 **7、用專用用戶運行MongoDB** ? >使用專用的操作系統用戶帳戶運行MongoDB進程。確保該帳戶具有訪問數據的權限，但沒有不必要的權限。 **8、使用安全配置選項運行MongoDB** >MongoDB支持對某些服務器端操作執行JavaScript代碼：mapReduce和$ where。如果不使用這些操作，請在命令行上使用--noscripting選項禁用服務器端腳本。 ?保持輸入驗證啟用。默認情況下，MongoDB通過net.wireObjectCheck設置啟用輸入驗證。這樣可以確保mongod實例存儲的所有文檔都是有效的BSON。 ## **Mongodb生產安全清單** ### **生產環境中我們該怎么做呢？** ### 1、數據庫 >bind_ip 綁定具體的內網ip 修改默認監聽端口 開啟身份認證，啟用訪問控制，使用強密碼 數據庫用戶開放最小權限 如果是老版本：關閉掉http接口(net.http.enabled = False)和關閉掉Rest API接口(net.http.RESTInterfaceEnabled=False) ### 2、系統網絡 >開啟網絡防火墻 如果是云主機可以使用安全組和Iptables 只允許內網訪問 不使用root用戶啟動，普通用戶啟動 ### 3、加密和審計 >程序訪問密碼加密 傳輸加密 開啟審計功能