MongoDB（虚拟机环境）等保二级-基础防护安全加固方案

安全风险概述（TOP3）

注：NoSQL注入主要发生在应用层，数据库侧需关闭危险特性（server-side JavaScript）并通过最小权限与审计兜底。

分级防护方案（核心/增强/高级）

• 适配目标：等保二级；防护等级：基础防护（重点优先“核心”项，确保可落地）

核心（必须立即落实，基础合规与安全基线）

• 认证与加密
  • 启用基于角色的访问控制（security.authorization: enabled）
  • 认证机制使用SCRAM-SHA-256
  • 开启TLS 1.2+ 双向至少服务端证书校验（requireTLS）
• 授权与账户
  • 最小权限：为应用创建专用DB与自定义角色，仅授予读写目标库
  • 禁止共享账号与跨环境复用凭据，强制密钥轮换流程
• 网络与边界
  • 仅绑定内网IP（net.bindIp），关闭公网直连
  • 主机防火墙仅放通必要业务源IP的27017/TCP
• 审计与日志
  • 社区版：启用系统日志、操作日志规范；Linux auditd监控关键文件与端口访问
  • 设定日志轮转与≥6个月留存策略
• 安全基线
  • 禁用server-side JavaScript（$where、mapReduce JS）
  • 文件系统权限最小化，数据目录独立分区，定期备份校验
  • 变更双人复核，配置纳入版本管理

增强（提高抗攻击与可观测性）

• 传输与存储安全
  • 强制客户端证书校验（可选双向TLS）
  • 磁盘加密（LUKS/dm-crypt）保护数据落地
• 授权细化
  • 基于集合级别分权与操作白名单化（自定义role聚焦必要动作）
  • 生产禁用dropDatabase/killAnySession等高危权限
• 审计强化
  • 如使用Enterprise版，启用MongoDB原生日志审计（auditLog）
  • Linux auditd增加对认证失败、多次失败的特定告警
• 运行与变更
  • 启用基线漂移检测（文件哈希、配置校验）
  • 预案演练：季度演练备份恢复与入侵响应

高级（合规可加分/高敏数据场景）

• 身份与集中认证
  • 集成企业CA与集中证书生命周期管理
  • Enterprise版集成LDAP/AD统一认证与账号治理
• 数据与密钥
  • 存储引擎级透明加密（Enterprise）或HSM托管密钥
  • 细粒度字段级加密（FLE2）保护敏感字段
• 监控与异常检测
  • 异常行为基线（连接失败率、写入异常突增、慢查询异常）
  • 账户与权限变更的实时告警与审批闭环

配置操作指南（含命令示例）

以下以Linux（systemd，mongod服务）、MongoDB 4.4+/6.x为例；如版本差异，请据实调整。命令需以root或有sudo权限执行；MongoDB命令使用mongosh。

0. 前置与目录权限

• 独立系统用户与目录
  • useradd -r -M -s /sbin/nologin mongod
  • mkdir -p /var/lib/mongo /var/log/mongodb
  • chown -R mongod:mongod /var/lib/mongo /var/log/mongodb
  • chmod 700 /var/lib/mongo

1. 网络与边界防护（核心）

• 仅绑定内网IP，关闭公网暴露（/etc/mongod.conf）
  • net: port: 27017 bindIp: 127.0.0.1,10.0.0.10 # 替换为实际内网IP
• 主机防火墙仅允许业务网段访问
  • iptables -A INPUT -p tcp -s 10.0.0.0/24 --dport 27017 -j ACCEPT
  • iptables -A INPUT -p tcp --dport 27017 -j DROP
  • 保存规则并持久化（视发行版而定）

验证：

• ss -lntp | grep 27017 仅监听在127.0.0.1与内网IP
• 从非授权源IP访问应被拒绝

2. 启用认证与最小权限（核心）

• 第一次初始化（利用localhost异常窗口创建admin）
  1. 暂不启用authorization启动（若新部署）
     • 在mongod.conf暂不配置security.authorization
     • systemctl start mongod
  2. 本机创建管理员（仅在localhost）
     • mongosh --host 127.0.0.1 use admin db.createUser({ user: "adminSec", pwd: "Strong-Admin-Password-#2025", roles: [ { role: "userAdminAnyDatabase", db: "admin" }, { role: "readWriteAnyDatabase", db: "admin" } ] })
  3. 启用授权（/etc/mongod.conf）
     • security: authorization: enabled authenticationMechanisms: ["SCRAM-SHA-256"]
     • systemctl restart mongod
• 创建应用最小权限角色与账号
  • mongosh -u adminSec -p '...' --authenticationDatabase admin use targetdb db.runCommand({ createRole: "app_rw_targetdb", privileges: [ { resource: { db: "targetdb", collection: "" }, actions: [ "find","insert","update","remove","createIndex","listCollections" ] } ], roles: [] }) use targetdb db.createUser({ user: "app_user", pwd: "Strong-App-Password-#2025", roles: [ { role: "app_rw_targetdb", db: "targetdb" } ] })
• 禁止高危权限：
  • 不为应用授予dbAdmin、clusterAdmin、backup/restore等非必需权限
• 密码轮换：
  • mongosh -u adminSec -p '...' --authenticationDatabase admin use targetdb db.changeUserPassword("app_user","New-Strong-Password-#2025Q2")

验证：

• 未认证操作应被拒绝：db.runCommand({connectionStatus:1}) 返回authenticatedUsers为空
• 认证后仅能访问targetdb且无dropDatabase权限

3. 启用TLS 1.2+（核心）

• 生成自签CA与服务端证书（示例；生产推荐企业CA签发）
  • mkdir -p /etc/ssl/mongo && cd /etc/ssl/mongo
  • openssl genrsa -out ca.key 4096
  • openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -subj "/CN=Mongo-CA" -out ca.crt
  • openssl genrsa -out server.key 4096
  • openssl req -new -key server.key -subj "/CN=mongo.internal" -out server.csr
  • openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 825 -sha256
  • cat server.key server.crt > server.pem
  • chmod 600 server.pem; chown mongod:mongod server.pem ca.crt
• mongod.conf
  • net: tls: mode: requireTLS certificateKeyFile: /etc/ssl/mongo/server.pem CAFile: /etc/ssl/mongo/ca.crt allowInvalidCertificates: false disabledProtocols: ["TLS1_0","TLS1_1"] # minTLSVersion: TLS1_2 # 新版可用
• 重启服务
  • systemctl restart mongod

验证：

• openssl s_client -connect 10.0.0.10:27017 -CAfile /etc/ssl/mongo/ca.crt -tls1_2
• mongosh "mongodb://app_user:...@10.0.0.10/targetdb?tls=true&tlsCAFile=/etc/ssl/mongo/ca.crt"
• 禁止明文：未带tls的连接应失败

4. 禁用危险功能与参数基线（核心）

• mongod.conf
  • security: authorization: enabled javascriptEnabled: false # 禁止server-side JS（$where/mapReduce JS）
  • setParameter: enableLocalhostAuthBypass: false # 禁止本地免认证（依据版本支持） ttlMonitorEnabled: true maxIncomingConnections: 10000 # 按容量评估
• 验证 $where 被拒绝
  • mongosh -u app_user -p '...' --authenticationDatabase admin targetdb db.test.find({$where:"return true"}) # 预期失败（JS被禁用）

注意：若版本不支持上述参数，请参照对应版本文档进行等效配置。

5. 审计与日志（核心：社区版以Linux审计补足）

• MongoDB系统日志
  • systemLog: destination: file path: /var/log/mongodb/mongod.log logAppend: true
• 日志轮转（/etc/logrotate.d/mongod）
  • /var/log/mongodb/mongod.log { daily rotate 180 compress missingok create 640 mongod mongod postrotate /bin/kill -USR1 cat /var/run/mongod.pid 2>/dev/null 2>/dev/null || true endscript }
• Linux审计（auditd）关键监控
  • 安装并启用：yum/apt install auditd; systemctl enable --now auditd
  • 规则示例（/etc/audit/rules.d/mongo.rules）
    • -w /etc/mongod.conf -p wa -k mongo_cfg
    • -w /var/lib/mongo -p rwa -k mongo_data
    • -w /var/log/mongodb -p wa -k mongo_log
    • -a always,exit -F arch=b64 -S connect -F a0=2 -F a2=6 -F dir=2 -F exit=-13 -k mongo_denied # 拒绝连接事件（示例，按发行版核验）
  • 加载规则：augenrules --load
  • 查看审计：ausearch -k mongo_cfg | aureport -f -i
• 如为Enterprise版，可启用原生审计（择一）
  • auditLog: destination: file format: JSON path: /var/log/mongodb/audit.log filter: '{ atype: { $in: ["authenticate","createUser","dropUser","grantRolesToUser","revokeRolesFromUser","insert","update","remove"] } }'

验证：

• 修改配置、用户管理、认证失败均应产生日志/审计事件
• 审计与日志保留≥6个月（等保二级建议）

6. 备份与恢复（核心）

• 在线一致性备份（独占连接窗口或从节点）
  • mongodump --host 10.0.0.10 --username adminSec --password '...' --authenticationDatabase admin --db targetdb --gzip --archive=/backup/targetdb_$(date +%F).archive.gz
• 恢复演练（季度）
  • mongorestore --gzip --archive=/backup/targetdb_2025-01-10.archive.gz --nsInclude="targetdb.*" --drop
• 备份完整性校验
  • 校验归档哈希：sha256sum /backup/*.gz > /backup/sha256.txt
• 存储加密（增强，推荐）
  • 使用LUKS为/var/lib/mongo加密
    • cryptsetup luksFormat /dev/vdb
    • cryptsetup open /dev/vdb mongo_crypt
    • mkfs.xfs /dev/mapper/mongo_crypt
    • mount /dev/mapper/mongo_crypt /var/lib/mongo
    • 更新/etc/fstab与/etc/crypttab以便重启自动挂载
  • 确保密钥受控且开机解锁流程合规

验证：

• 演练恢复后数据校验通过
• 加密卷未解锁时物理介质不可读

7. 持续监控与基线检查（基础）

• 核心指标（每分钟采集/告警阈值示例）
  • 认证失败率（>10/min告警）：grep -c "Authentication failed" /var/log/mongodb/mongod.log
  • 连接数、可用连接：db.serverStatus().connections
  • 操作延迟与慢查询：启用慢日志（operationProfiling）
    • operationProfiling: mode: slowOp slowOpThresholdMs: 200
  • 磁盘/文件句柄/内存
• 配置基线校验
  • 对/etc/mongod.conf和证书文件定期计算哈希并比对
  • 文件权限扫描（expect: 600/700）

8. 验证与检查清单（可直接执行/核对）

• 网络
  • ss -lntp | grep 27017 仅内网监听
  • 外网主机无法telnet 27017
• 认证/授权
  • 未认证命令被拒绝
  • app_user仅能访问targetdb且无法dropDatabase
• TLS
  • 非TLS连接失败
  • openssl s_client校验证书链通过、协议≥TLS1.2
• 危险功能
  • $where执行失败（JS禁用）
• 日志/审计
  • 管理操作、失败登录可检索到审计记录
  • 日志每日轮转并保留≥180份
• 备份
  • 最近一次备份文件存在、hash校验通过、最近一个季度完成过恢复演练
• 权限与文件
  • /var/lib/mongo权限700，属主mongod

应急响应流程（基础版）

流程图（ASCII）： [告警/异常发现] | v [初步分级与取证保全] |--P1: 数据外泄/核心库被篡改/被控 |--P2: 暴力破解/异常失败率飙升 |--P3: 单点告警/可控异常 | v [隔离与遏制] | +--> 阻断可疑IP/账号 | v [现场取证] | v [根因分析与修复] | v [数据恢复与业务验证] | v [复盘与改进]

关键步骤与命令示例：

• 发现与分级
  • 触发条件：认证失败率异常、未知源IP连接、审计到高危操作、数据校验失败
  • 立刻冻结高危账号：db.updateUser("app_user",{pwd:""}) 或临时撤权
• 隔离与遏制
  • 立即阻断可疑源IP：
    • iptables -I INPUT -s <suspicious_ip> -j DROP
  • 将mongod切至仅内网维护窗口（必要时短时只绑定127.0.0.1）
  • 强制TLS：确认net.tls.mode=requireTLS
• 现场取证（先取证后清理）
  • 备份日志与审计：
    • tar czf /ir/mongo_logs_$(date +%s).tar.gz /var/log/mongodb /var/log/audit
  • 快照/物理副本（VM快照，或LVM快照）
• 根因分析与修复
  • 分析异常账户、来源IP、涉及集合与操作类型
  • 补齐配置：authorization/TLS/防火墙、禁用JS
  • 漏洞修复：升级MongoDB安全版本，修正弱口令策略
• 数据恢复与验证
  • 依据最后可信备份进行point-in-time恢复（有oplog/从节点时）
  • 业务回归测试：读写、索引、延迟、完整性校验
• 密钥与凭据轮换
  • 重签发服务器证书（如怀疑私钥泄露）
  • 全量轮换受影响的DB用户密码
• 报告与复盘
  • 形成事件报告：时间线、影响范围、数据量、处置过程、改进项
  • 更新基线与监控告警阈值，补充演练

备注与合规要点

• 本方案遵循最小权限原则，满足等保二级在身份鉴别、访问控制、通信保密、安全审计、入侵防范与备份恢复的基本要求。
• 社区版无法启用MongoDB原生审计时，须以Linux auditd与系统日志组合满足“可审计、可追溯”要求，并确保日志集中与留存。
• 存储加密在等保二级非强制，但强烈建议对涉敏数据启用（LUKS或Enterprise透明加密）。
• 涉及参数可能存在版本差异，部署前请核对目标版本文档并先在测试环境演练。