mongodb安全配置
①绑定IP和修改默认端口27017确保MongoDB使用非默认端口服务配置
描述
更改MongoDB使用的端口使攻击者更难找到数据库并将其作为目标。
标准端口用于自动攻击,并由攻击者用于验证服务器上正在运行的应用程序。
检查提示
--
加固建议
将MongoDB服务器的端口更改为27017以外的数字
②确保MongoDB仅侦听授权接口上的网络连接访问控制
描述
确保MongoDB在受信任的网络环境中运行涉及限制MongoDB实例侦听传入连接的网络接口。
MongoDB应删除任何不受信任的网络连接。 此配置阻止来自不受信任网络的连接,
只允许授权和受信任网络上的系统尝试连接到MongoDB。
如果未配置,则可能导致从不受信任的网络到MongoDB的未授权连接。
检查提示
--
加固建议
1、如果服务只允许本机访问,编辑MongoDB的配置文件<conf_path>/mongod.conf,在net区块下配置bindIp,
将此项的值设置为:127.0.0.1(仅允许本机访问),并重启MongoDB服务。
2、如业务需要设置为跨服务器访问,可通过安全组配置访问规则,防止服务暴露到互联网上,然后忽略此项