如何在Ubuntu上開啟MongoDB的IP Security
看本教程前,你需要:
安裝MongoDB3.6
伺服器上有多個網路介面(本例會使用AWS EC2實例)
了解IP網路的基本知識,會配置私有IP
我啟動了安裝有 Ubuntu 16.04 LTS的一台AWS EC2的實例,並且安裝了MongoDB3.6我想允許我的部分VPC IP地址連接到我們的MongoDB資料庫。通過這種方式,可以保證只有我們的指定IP以及本機才能連接到資料庫,而其他陌生地址禁止訪問資料庫。
首先啟動VPC公共子網中的Ubuntu實例。根據MongoDB官網文檔安裝mongodb3.6,通過以下命令可以查看進程佔用了那個網路埠:
ubuntu@ip-172-16-0-211:~$ sudo netstat -plant | egrep mongod tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN 2549/mongod
命令結果輸出顯示用戶只允許通過本機的27017埠進行訪問,如果想其他系統訪問資料庫,就需要進行IP綁定。運行ifconfig命令
ubuntu@ip-172-16-0-211:~$ ifconfig eth0 Link encap:Ethernet HWaddr 0e:5e:76:83:49:3e inet addr:172.16.0.211 Bcast:172.16.0.255 Mask:255.255.255.0 inet6 addr: fe80::c5e:76ff:fe83:493e/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:9001 Metric:1 RX packets:65521 errors:0 dropped:0 overruns:0 frame:0 TX packets:7358 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:94354063 (94.3 MB) TX bytes:611646 (611.6 KB)
現在我們知道了我們想要監聽的網路地址,打開/etc/mongodb.conf文件,進行編輯,文件修改後如下:
# network interfaces net: port: 27017 bindIp: 127.0.0.1,172.16.0.211
現在文件中就添加了一個IP地址172.16.0.211, 重啟mongod服務。
ubuntu@ip-172-16-0-211:~$ sudo service mongod stop ubuntu@ip-172-16-0-211:~$ sudo service mongod start ubuntu@ip-172-16-0-211:~$ sudo netstat -plnt | egrep mongod tcp 0 0 172.16.0.211:27017 0.0.0.0:* LISTEN 2892/mongod tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN 2892/mongod
可以看到現在除了本機,資料庫還可以接受指定的IP的請求。通過本機連接:
ubuntu@ip-172-16-0-211:~$ mongo localhost MongoDB shell version v3.6.0-rc2 connecting to: mongodb://127.0.0.1:27017/localhost
通過指定IP連接
ubuntu@ip-172-16-0-211:~$ mongo 172.16.0.211 MongoDB shell version v3.6.0-rc2 connecting to: mongodb://172.16.0.211:27017/test
默認的本機配置是有很多好處的,但是現在就需要明確指定那些網路可以連接資料庫,防止不信任的網路連接到系統。保證MongoDB系統不受遠程攻擊是非常重要的,確保只有在安全清單上的IP才能連接到系統。
你就知道了如何為系統配置其他IP地址以訪問資料庫,現在就可以為你的複製集進行配置了。不要忘記做備份、監控。如果你不想在這些工作上消耗太多精力,可以了解一下我們的資料庫即服務:MongoDB Atlas。
原文地址:https://www.linuxprobe.com/ubuntu-mongodb-security.html
※加強Linux 容器安全的十大方面
※linux下使用tree命令以樹形結構顯示文件目錄結構
TAG:安全劍客 |