MongoDB与Debian网络配置注意事项

MongoDB与Debian网络配置注意事项

1. IP绑定配置

默认情况下，MongoDB（版本3.6及以上）仅绑定到本地地址（127.0.0.1），仅允许本地访问。若需允许远程连接，需修改配置文件/etc/mongod.conf中的net.bindIp参数：可设置为0.0.0.0（允许所有IP连接，但存在安全风险）或特定IP地址（如192.168.1.100，仅允许该IP访问）。修改后需重启MongoDB服务使更改生效。

2. 端口设置

MongoDB默认监听27017端口。若需使用其他端口，可修改/etc/mongod.conf中的net.port参数（如27018）。无论使用默认端口还是自定义端口，都需确保防火墙允许该端口的流量通过。

3. 防火墙配置

Debian系统常用ufw（Uncomplicated Firewall）管理防火墙规则。需允许MongoDB端口（默认27017）的TCP流量，命令如下：
sudo ufw allow 27017/tcp
配置完成后，重启防火墙以应用规则：sudo ufw reload。若使用iptables，可添加永久规则：sudo iptables -A INPUT -p tcp --dport 27017 -j ACCEPT，并保存规则。

4. 身份验证启用

为提升安全性，生产环境强烈建议启用MongoDB身份验证。编辑/etc/mongod.conf，在security部分添加：
security: authorization: enabled
重启MongoDB服务后，需创建管理员用户（用于管理数据库）和应用用户（用于应用访问）。例如，创建管理员用户：

mongo
use admin
db.createUser({
 user: "admin", pwd: "strong_password", roles: ["root"] }
)

创建应用用户（以mydatabase数据库为例）：

use mydatabase
db.createUser({
 user: "app_user", pwd: "app_password", roles: ["readWrite", "dbOwner"] }
    )
```。

### **5. 网络强化措施**  
- **限制IP访问**：避免将MongoDB绑定到`0.0.0.0`，尽量指定受信任的内部IP地址（如`10.0.0.0/8`、`192.168.0.0/16`），减少暴露风险。  
- **使用防火墙限制源IP**：通过`iptables`或`ufw`限制可访问MongoDB端口的IP范围（如仅允许公司内网IP访问），进一步提升安全性。

### **6. 服务管理**  
修改配置文件后，需重启MongoDB服务以应用更改：`sudo systemctl restart mongod`。为确保系统重启后MongoDB自动启动，需设置开机自启：`sudo systemctl enable mongod`。可通过`sudo systemctl status mongod`验证服务状态。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！