在Debian上为MongoDB启用安全审计,可以按照以下步骤进行:
修改MongoDB配置文件:
打开MongoDB的配置文件,通常位于 /etc/mongod.conf。在文件中找到或添加以下配置项:
计算
安全
数据库
网络和加速
企业服务
auditLog:
destination: file
format: BSON
path: /var/log/mongodb/auditLog.bson
这会将审计日志以BSON格式记录到指定的文件中。
重启MongoDB服务: 修改配置文件后,需要重启MongoDB服务以使更改生效。可以使用以下命令重启MongoDB:
sudo systemctl restart mongod
验证审计功能是否开启: 重启服务后,可以通过以下命令验证审计功能是否成功开启:
mongo --eval "db.runCommand({ getParameter: 1, auditLog: 1 })"
如果返回 true,则表示审计功能已成功开启。
--auditFilter 配置项。例如,要记录用户的创建和删除操作,可以使用以下命令:db.createUser({
user: "exampleUser",
pwd: "password123",
roles: [{ role: "readWrite", db: "test" }]
})
db.dropUser("exampleUser")
bsondump /var/log/mongodb/auditLog.bson
启用身份验证:
在配置文件中设置 security.authorization: "enabled" 以启用身份验证。
security:
authorization: enabled
限制网络访问:
修改MongoDB配置文件中的 net.bindIp 配置项,只允许特定的IP地址访问MongoDB。例如,只允许本机访问:
net:
bindIp: 127.0.0.1
定期检查和分析审计日志: 定期检查和分析审计日志,以确保数据安全,并遵循安全最佳实践。
亿速云「云服务器」,即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘,价格低至29元/月。点击查看>>
