MongoDB在Debian上的网络设置如何配置
导读:MongoDB 在 Debian 上的网络设置指南 一 核心配置步骤 编辑配置文件:sudo nano /etc/mongod.conf 配置监听地址与端口: 仅本机:net.bindIp: 127.0.0.1 指定内网网段:net.b...
MongoDB 在 Debian 上的网络设置指南
一 核心配置步骤
- 编辑配置文件:sudo nano /etc/mongod.conf
- 配置监听地址与端口:
- 仅本机:net.bindIp: 127.0.0.1
- 指定内网网段:net.bindIp: 127.0.0.1,192.168.1.10
- 全部地址(不推荐生产):net.bindIp: 0.0.0.0
- 端口:net.port: 27017
- 启用身份验证(修改后重启才生效):
- security.authorization: enabled
- 可选启用 TLS/SSL(推荐生产):
- net.ssl.mode: requireSSL
- net.ssl.PEMKeyFile: /path/to/mongodb.pem
- net.ssl.CAFile: /path/to/ca.pem
- 应用并验证:
- 重启服务:sudo systemctl restart mongod
- 查看监听:ss -lntp | grep 27017 或 sudo lsof -iTCP:27017 -sTCP:LISTEN
- 查看日志:tail -f /var/log/mongodb/mongod.log
- 本机连通性:mongo --host 127.0.0.1:27017 --eval ‘db.runCommand({ connectionStatus: 1 } )’
- 远程连通性:mongo --host 服务器IP:27017 --eval ‘db.runCommand({ connectionStatus: 1 } )’
二 防火墙与端口开放
- UFW(若启用):sudo ufw allow 27017/tcp;sudo ufw reload
- nftables/iptables:
- nft add rule inet filter input tcp dport 27017 ip saddr 192.168.1.0/24 accept
- 或:iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 27017 -j ACCEPT
- 云厂商安全组:仅放行来自应用所在子网的 TCP 27017,避免使用 0.0.0.0/0
三 安全与加固建议
- 避免将 bindIp 设为 0.0.0.0;优先绑定到 127.0.0.1 与受控内网地址,最小化暴露面
- 启用认证:security.authorization: enabled,并创建具备最小权限的管理员与业务用户
- 强制加密:启用 TLS/SSL,妥善保管证书与私钥,禁用明文连接
- 网络访问控制:通过防火墙/安全组仅允许受信任网段访问 27017
- 系统加固:保持 MongoDB 与 Debian 及时更新;按需配置审计日志与监控告警
四 常见故障排查
- 服务未监听或配置未生效:检查 mongod.conf 语法、确认已执行 sudo systemctl restart mongod,并查看 /var/log/mongodb/mongod.log 的错误提示
- 端口未放行:核对 UFW/nftables/云安全组规则是否允许来源 IP 访问 27017
- 远程连不通但本机可连:确认 bindIp 包含服务器内网地址、监听端口正确、无中间网络 ACL 拦截
- 启用认证后连接被拒:使用具有相应角色的用户认证,或在过渡期临时设置 bindIp 为 127.0.0.1 并在本机完成用户与权限初始化后再收紧网络
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: MongoDB在Debian上的网络设置如何配置
本文地址: https://pptw.com/jishu/787640.html