如何在Ubuntu上開啟MongoDB的IP Security

看本教程前，你需要：

安裝MongoDB3.6

伺服器上有多個網路介面（本例會使用AWS EC2實例）

了解IP網路的基本知識，會配置私有IP

我啟動了安裝有 Ubuntu 16.04 LTS的一台AWS EC2的實例，並且安裝了MongoDB3.6我想允許我的部分VPC IP地址連接到我們的MongoDB資料庫。通過這種方式，可以保證只有我們的指定IP以及本機才能連接到資料庫，而其他陌生地址禁止訪問資料庫。

首先啟動VPC公共子網中的Ubuntu實例。根據MongoDB官網文檔安裝mongodb3.6，通過以下命令可以查看進程佔用了那個網路埠：

ubuntu@ip-172-16-0-211:~$ sudo netstat -plant | egrep mongod tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN 2549/mongod

命令結果輸出顯示用戶只允許通過本機的27017埠進行訪問，如果想其他系統訪問資料庫，就需要進行IP綁定。運行ifconfig命令

ubuntu@ip-172-16-0-211:~$ ifconfig eth0 Link encap:Ethernet HWaddr 0e:5e:76:83:49:3e inet addr:172.16.0.211 Bcast:172.16.0.255 Mask:255.255.255.0 inet6 addr: fe80::c5e:76ff:fe83:493e/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:9001 Metric:1 RX packets:65521 errors:0 dropped:0 overruns:0 frame:0 TX packets:7358 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:94354063 (94.3 MB) TX bytes:611646 (611.6 KB)

現在我們知道了我們想要監聽的網路地址，打開/etc/mongodb.conf文件，進行編輯，文件修改後如下：

# network interfaces net: port: 27017 bindIp: 127.0.0.1,172.16.0.211

現在文件中就添加了一個IP地址172.16.0.211， 重啟mongod服務。

ubuntu@ip-172-16-0-211:~$ sudo service mongod stop ubuntu@ip-172-16-0-211:~$ sudo service mongod start ubuntu@ip-172-16-0-211:~$ sudo netstat -plnt | egrep mongod tcp 0 0 172.16.0.211:27017 0.0.0.0:* LISTEN 2892/mongod tcp 0 0 127.0.0.1:27017 0.0.0.0:* LISTEN 2892/mongod

可以看到現在除了本機，資料庫還可以接受指定的IP的請求。通過本機連接：

ubuntu@ip-172-16-0-211:~$ mongo localhost MongoDB shell version v3.6.0-rc2 connecting to: mongodb://127.0.0.1:27017/localhost

通過指定IP連接

ubuntu@ip-172-16-0-211:~$ mongo 172.16.0.211 MongoDB shell version v3.6.0-rc2 connecting to: mongodb://172.16.0.211:27017/test

默認的本機配置是有很多好處的，但是現在就需要明確指定那些網路可以連接資料庫，防止不信任的網路連接到系統。保證MongoDB系統不受遠程攻擊是非常重要的，確保只有在安全清單上的IP才能連接到系統。

你就知道了如何為系統配置其他IP地址以訪問資料庫，現在就可以為你的複製集進行配置了。不要忘記做備份、監控。如果你不想在這些工作上消耗太多精力，可以了解一下我們的資料庫即服務：MongoDB Atlas。

原文地址：https://www.linuxprobe.com/ubuntu-mongodb-security.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！