网络和配置强化
在此页面上
为了降低整个 MongoDB 系统的暴露风险,请确保只有可信主机才可访问 MongoDB。
MongoDB 配置强化
IP 绑定
MongoDB 二进制文件 mongod
和 mongos
默认绑定到 localhost
。
有关详细信息,请参阅 IP 绑定。
HTTP 状态接口和 REST API
在版本 3.6 中进行了更改:MongoDB 3.6 删除了已弃用的 HTTP 接口和 MongoDB 的 REST API。
网络强化
防火墙
防火墙可以让管理员提供对网络通信的精细控制,从而对系统的访问进行过滤和控制。以下功能对于 MongoDB 管理员很重要:限制特定端口到特定系统的传入流量,以及限制来自不可信主机的传入流量。
在 Linux 系统上,iptables
接口提供对底层 netfilter
防火墙的访问。在 Windows 系统上,netsh
命令行界面提供对底层 Windows 防火墙的访问。有关防火墙配置的更多信息,请参阅:
为获得最佳结果并最大限度减少整体暴露风险,请确保只有来自可信来源的流量才能到达 mongod
和 mongos
实例,并且 mongod
和 mongos
实例只能连接到可信输出。
虚拟专用网络
虚拟专用网络 (VPN) 可以让您通过加密且访问受限的可信网络来链接两个网络。由于性能问题,使用 VPN 的 MongoDB 用户通常会使用 TLS/SSL 而不是 IPSEC VPN。
根据配置和实施情况,VPN 会提供证书验证和加密协议选择,这就要求对所有客户端进行严格的身份验证和识别。此外,由于 VPN 提供安全隧道,因此通过使用 VPN 连接来控制对 MongoDB 实例的访问,您可以防止篡改和“中间人”攻击。
禁用 IP 转发
IP 转发允许服务器将数据包转发到其他系统。在托管 mongod
的服务器上禁用此功能。