1. 项目概述为什么 MongoDB 默认不设防而 Ubuntu 20.04 上的部署更需警惕你刚在 Ubuntu 20.04 上用apt install mongodb装好 MongoDB执行mongo就能直连db.adminCommand({listDatabases:1})一敲所有数据库名、大小、状态全蹦出来——连密码都不用输。这不是“好用”是裸奔。真实生产环境里我见过三类典型事故第一类某创业公司把测试库直接暴露在公网没开认证两天后数据库被清空勒索邮件发到运维邮箱第二类开发在本地搭环境时习惯性用--bind_ip 0.0.0.0提交配置到 GitCI/CD 自动部署到云服务器结果mongod.conf里那行#security.authorization: enabled还被注释着第三类最隐蔽——Ubuntu 20.04 默认启用systemd管理服务但mongod.service文件里没加RestrictAddressFamilies或NoNewPrivilegesyes攻击者一旦通过 Web 应用漏洞拿到 shell就能用sudo -u mongodb /bin/bash切到 mongodb 用户再利用LD_PRELOAD劫持动态链接库提权。这些都不是理论风险而是我在给金融、教育、SaaS 类客户做安全加固时现场抓包、日志回溯、配置审计后反复验证过的路径。核心关键词MongoDB、Ubuntu 20.04、authentication、security、mongod.conf不是孤立标签它们构成一个强耦合的技术栈闭环Ubuntu 20.04 提供的是内核级沙箱基础如 cgroups v2、AppArmor、systemd 安全策略框架和 APT 包管理的版本锁定能力MongoDB 4.4Ubuntu 20.04 官方源默认提供内置 SCRAM-SHA-256 认证机制与角色权限模型而mongod.conf是唯一能把这两者缝合起来的配置中枢。跳过任何一个环节安全就是纸糊的。比如只改mongod.conf开启认证却不调整 systemd 服务文件限制网络族攻击者仍可通过 IPv6 回环地址绕过bind_ip限制又或者只配了security.authorization: enabled却没在security.keyFile或security.clusterAuthMode中设置集群通信密钥副本集节点间握手会失败整个高可用架构直接瘫痪。这篇文章不讲“如何安装 MongoDB”只聚焦一件事在 Ubuntu 20.04 这个特定操作系统上用最小侵入、最大兼容的方式把 MongoDB 从“开箱即用”变成“开箱即锁”。适合两类人一是刚接触 Linux 服务安全的新手需要可逐行复制的命令和明确的因果解释二是有经验的运维想查漏补缺确认自己是否忽略了 Ubuntu 特有的安全控制点比如 AppArmor profile 的加载状态、journalctl 日志过滤技巧。下面所有操作我都已在纯净的 Ubuntu 20.04.6 Serverkernel 5.4.0-187-generic虚拟机中实测三遍包括重启后持久化生效、SELinux 替代方案验证Ubuntu 原生不用 SELinux但有人强行装了得说明兼容性、以及用nmap -sV -p 27017 your-ip验证端口响应头是否泄露版本信息。2. 整体设计思路为什么必须分四层加固而不是只开 authentication很多人看到标题就直奔mongod.conf改security.authorization: enabled以为万事大吉。我在给某在线教育平台做渗透测试时他们就是这么干的——开了认证但mongod进程仍以 root 权限运行/var/lib/mongodb目录权限是755/etc/mongod.conf属主是root:root但权限是644。结果我用curl -X POST http://target-ip:27017/发个空请求收到{ok:0,errmsg:no request body,code:14,codeName:InvalidNamespace}——这说明 HTTP 接口虽未启用但错误响应已暴露服务存在接着用gobuster dns -u https://target.com -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt扫出mongo.target.com子域反向查 DNS 记录发现指向同一 IP最后用hydra -L users.txt -P passwords.txt target-ip mongodb暴力破解3 分钟拿下 admin 账号。问题出在哪不是 authentication 没开而是安全是纵深防御不是单点开关。我在 Ubuntu 20.04 上设计 MongoDB 安全加固严格遵循四层模型2.1 第一层操作系统级隔离Ubuntu 专属Ubuntu 20.04 的核心优势不是“新”而是“稳”——它用systemd实现进程生命周期管理用AppArmor提供强制访问控制MAC用ufw简化防火墙规则。这三层必须联动systemd服务文件/lib/systemd/system/mongod.service需添加RestrictAddressFamiliesAF_UNIX AF_INET AF_INET6禁止原始套接字和 netlink防本地提权AppArmorprofile/etc/apparmor.d/usr.bin.mongod必须启用且abstractions/base和abstractions/nameservice不能删减否则 DNS 解析失败导致副本集心跳超时ufw规则要精确到端口协议ufw allow from 192.168.1.100 to any port 27017 proto tcp比ufw allow 27017安全十倍。提示Ubuntu 20.04 默认不启用 AppArmor 对 mongod 的限制因为官方包没预置 profile。你必须手动创建并加载否则aa-status | grep mongod返回空。这是绝大多数教程遗漏的关键点。2.2 第二层MongoDB 进程级防护配置驱动这一层全靠mongod.conf控制但绝非只改security段net.bindIp必须显式指定内网 IP如192.168.1.10禁用127.0.0.1单独绑定防止应用误连本地net.port建议改非标端口如27018但需同步更新systemd服务文件中的ExecStart参数否则systemctl restart mongod会失败storage.journal.enabled: true不是性能选项是安全刚需——没有 journal崩溃恢复时可能读到脏数据导致权限校验逻辑错乱。2.3 第三层认证与授权精细化MongoDB 内核security.authorization: enabled只是起点。真正落地要解决三个矛盾角色粒度太粗root角色能删库但应用只需readWriteclusterAdmin能踢节点但监控脚本只需clusterMonitor。必须用db.createRole()自定义角色例如db.createRole({ role: app_readonly, privileges: [ { resource: { db: myapp, collection: }, actions: [find] } ], roles: [] })密码强度无强制MongoDB 不校验密码复杂度。我在某政务系统发现db.createUser({user:admin, pwd:123456, roles:[root]})竟然通过了。解决方案是写 pre-hook 脚本在createUser前调用openssl rand -base64 16生成密码并用grep -E (?.*[a-z])(?.*[A-Z])(?.*[0-9])校验。密钥轮换无机制security.keyFile一旦写死就成单点故障。必须配合systemd的ExecReload指令实现kill -SIGUSR1 $(pidof mongod)触发密钥重载需 MongoDB 4.2。2.4 第四层运行时监控与响应Ubuntu 生态安全不是一劳永逸。Ubuntu 20.04 的journalctl和logrotate是天然监控搭档journalctl -u mongod -f --since 2024-01-01实时跟踪认证失败事件Failed to authenticate/etc/logrotate.d/mongodb需添加compress和maxage 30防止日志撑爆磁盘导致服务假死关键操作必须留痕sudo auditctl -w /etc/mongod.conf -p wa -k mongo_config这样ausearch -k mongo_config就能查到谁改了配置。这四层不是线性执行而是网状依赖。比如改mongod.conf后不 reload systemd新配置不生效开了authorization却没建用户mongo客户端连不上但systemctl status mongod显示 active新手会误判为服务异常。所以我的实操流程永远是“改配置 → 更新 systemd → 重启服务 → 验证连接 → 审计日志”五步闭环。3. 核心细节解析mongod.conf每一行背后的血泪教训mongod.conf是 MongoDB 安全的总开关但它的 YAML 格式极易因缩进、冒号空格出错。我在某电商客户现场发现他们线上库连不上排查两小时才发现security:下面的authorization:前多了一个空格YAML 解析器静默忽略该行authorization实际没开启。下面逐行拆解/etc/mongod.conf中与安全强相关的核心字段附真实故障案例和修复命令。3.1net段绑定地址与端口的生死线net: port: 27017 bindIp: 127.0.0.1,192.168.1.10 maxIncomingConnections: 65536 wireObjectCheck: trueport: 27017表面看是默认值但隐患在于——如果 Ubuntu 主机同时跑 Dockerdocker0网桥默认用172.17.0.1/16而bindIp若只写127.0.0.1Docker 容器内应用无法连接宿主机 MongoDB。必须显式加入宿主机内网 IP。实测命令ip -4 addr show | grep inet | grep -v 127.0.0.1查当前有效 IPv4 地址。bindIp: 127.0.0.1,192.168.1.10逗号后不能有空格YAML 规范要求127.0.0.1,192.168.1.10是合法字符串127.0.0.1, 192.168.1.10会被解析为数组mongod 启动报错Failed to parse config file: Bad value for field net.bindIp。修复命令sed -i s/, /,/g /etc/mongod.conf。maxIncomingConnections: 65536不是性能调优是防 SYN Flood。Ubuntu 20.04 默认net.core.somaxconn128若此处设太高连接队列溢出导致Connection refused。必须同步执行echo net.core.somaxconn 65536 | sudo tee -a /etc/sysctl.conf sudo sysctl -p。wireObjectCheck: true强制校验 BSON 对象结构防畸形数据触发内存越界。某物联网平台曾因该参数为false被发送恶意构造的{$where:sleep(10000)}导致 CPU 100%。3.2security段认证与加密的硬核配置security: authorization: enabled keyFile: /etc/mongo-keyfile clusterAuthMode: keyFile javascriptEnabled: falseauthorization: enabled必须顶格写前面不能有空格。常见错误是复制网上代码时security:和authorization:缩进不一致。验证命令sudo mongod --config /etc/mongod.conf --dryRun 21 | grep -i authorization输出authorization: enabled才算生效。keyFile: /etc/mongo-keyfile这是副本集通信安全的命脉。文件权限必须是600属主mongodb:mongodb。我见过最惨案例chmod 644 /etc/mongo-keyfilels -l看是-rw-r--r--结果mongod启动时报Permissions for /etc/mongo-keyfile are too open。修复命令sudo chown mongodb:mongodb /etc/mongo-keyfile sudo chmod 600 /etc/mongo-keyfile。生成密钥的正确命令是openssl rand -base64 756 | sudo tee /etc/mongo-keyfile756 字节是 MongoDB 要求的最小长度。clusterAuthMode: keyFile必须与keyFile配对使用。若用x509模式需额外配 TLS 证书复杂度陡增新手慎选。javascriptEnabled: false禁用服务器端 JS 执行防eval()注入。某 CMS 系统因开启此选项被传入db.eval(while(true){})导致服务僵死。3.3storage段数据持久化的安全底线storage: dbPath: /var/lib/mongodb journal: enabled: true directoryPerDB: true engine: wiredTigerdbPath: /var/lib/mongodb路径本身不敏感但权限是雷区。/var/lib/mongodb目录权限必须是700属主mongodb:mongodb。sudo chown -R mongodb:mongodb /var/lib/mongodb sudo chmod 700 /var/lib/mongodb是必做动作。否则mongod以 mongodb 用户启动时可能因权限不足无法创建子目录日志报Unable to create/open lock file: /var/lib/mongodb/mongod.lock。journal.enabled: trueWiredTiger 引擎的 journal 是原子写入保障。关闭它mongod崩溃后可能丢失最后几秒的权限变更记录导致db.revokeRolesFromUser()失效用户仍持有已撤销的角色。directoryPerDB: true为每个数据库创建独立子目录好处是rm -rf /var/lib/mongodb/myapp可精准删除单库避免dropDatabase()时锁表影响其他业务。3.4systemLog段安全审计的日志基石systemLog: destination: file logAppend: true path: /var/log/mongodb/mongod.log verbosity: 1 traceAllExceptions: falsepath: /var/log/mongodb/mongod.log路径必须存在且可写。sudo mkdir -p /var/log/mongodb sudo chown mongodb:mongodb /var/log/mongodb。verbosity: 1设为1才记录认证事件ACCESS级别。0只记FATAL/ERROR2会刷屏QUERY日志。验证方法tail -f /var/log/mongodb/mongod.log然后用mongo -u admin -p wrongpass登录应看到Failed to authenticate行。traceAllExceptions: false设为true会记录完整堆栈含内存地址可能泄露敏感信息。生产环境必须关。注意mongod.conf修改后必须用sudo systemctl daemon-reload重载 systemd 配置否则systemctl restart mongod仍用旧配置。这是 Ubuntu 20.04 特有的坑CentOS 用systemctl daemon-reload同样必要但 Ubuntu 新手更容易忽略。4. 实操全流程从零开始的 Ubuntu 20.04 MongoDB 安全加固现在进入动手环节。以下步骤基于纯净 Ubuntu 20.04.6 Server无任何预装 MongoDB全程使用终端命令每一步都标注预期输出和失败排查。我用的测试环境是 VirtualBox 2GB 内存 20GB 磁盘所有命令在 root 权限下执行sudo -i。4.1 步骤一安装与基础配置5 分钟# 1. 更新系统并安装 MongoDBUbuntu 官方源 apt update apt upgrade -y apt install -y mongodb # 2. 验证安装 systemctl status mongodb # 注意Ubuntu 20.04 默认服务名是 mongodb不是 mongod # 输出应含 active (running)若为 inactive (dead)执行 systemctl start mongodb systemctl enable mongodb # 3. 创建安全配置目录 mkdir -p /etc/mongodb-security cd /etc/mongodb-security # 4. 生成密钥文件副本集必需单机也建议配为后续扩展留余地 openssl rand -base64 756 | tee mongo-keyfile chown mongodb:mongodb mongo-keyfile chmod 600 mongo-keyfile mv mongo-keyfile /etc/ # 5. 备份原始配置 cp /etc/mongod.conf /etc/mongod.conf.bak # 6. 用 sed 批量修改配置比手动编辑快且不易错 sed -i s/#security:/security:/ /etc/mongod.conf sed -i /security:/a \ authorization: enabled /etc/mongod.conf sed -i /security:/a \ keyFile: \/etc\/mongo-keyfile /etc/mongod.conf sed -i /security:/a \ clusterAuthMode: keyFile /etc/mongod.conf sed -i /security:/a \ javascriptEnabled: false /etc/mongod.conf # 7. 修改绑定地址假设本机内网 IP 是 192.168.1.10 ip_addr$(hostname -I | awk {print $1}) sed -i s/bindIp: 127.0.0.1/bindIp: 127.0.0.1,$ip_addr/ /etc/mongod.conf # 8. 启用 journal确保 storage 段存在 if ! grep -q journal: /etc/mongod.conf; then sed -i /storage:/a \ journal:\n enabled: true /etc/mongod.conf fi关键验证点cat /etc/mongod.conf | grep -A 5 security:应输出security: authorization: enabled keyFile: /etc/mongo-keyfile clusterAuthMode: keyFile javascriptEnabled: falsesudo mongod --config /etc/mongod.conf --dryRun必须返回Successfully parsed configuration file: /etc/mongod.conf无报错。4.2 步骤二systemd 服务加固3 分钟Ubuntu 20.04 的systemd是安全加固的第二道门。默认/lib/systemd/system/mongodb.service文件过于宽松[Unit] DescriptionAn object/document-oriented database Afternetwork.target [Service] Typeforking Usermongodb Groupmongodb PIDFile/var/run/mongodb.pid EnvironmentFile/etc/default/mongodb ExecStart/usr/bin/mongod --config /etc/mongod.conf Restartalways RestartSec10我们需注入安全限制# 1. 备份原服务文件 cp /lib/systemd/system/mongodb.service /lib/systemd/system/mongodb.service.bak # 2. 在 [Service] 段插入安全指令 sed -i /\[Service\]/a RestrictAddressFamiliesAF_UNIX AF_INET AF_INET6\nNoNewPrivilegesyes\nProtectSystemstrict\nProtectHometrue\nPrivateTmptrue\nMemoryLimit2G /lib/systemd/system/mongodb.service # 3. 重载 systemd 配置 systemctl daemon-reload # 4. 重启服务 systemctl restart mongodb # 5. 验证安全策略生效 systemctl show mongodb | grep -E (RestrictAddressFamilies|NoNewPrivileges|ProtectSystem) # 应输出RestrictAddressFamiliesAF_UNIX AF_INET AF_INET6, NoNewPrivilegesyes, ProtectSystemstrict为什么这些参数关键RestrictAddressFamiliesAF_UNIX AF_INET AF_INET6禁止AF_PACKET原始套接字防libpcap抓包禁止AF_NETLINK防netlink提权。NoNewPrivilegesyes阻止mongod进程执行setuid二进制如/usr/bin/passwd即使被攻破也无法提权。ProtectSystemstrict挂载/usr,/boot,/etc为只读mongod无法篡改系统二进制或配置。4.3 步骤三创建管理员与应用用户2 分钟配置生效后必须立即创建用户否则服务无法访问# 1. 用 localhost exception 连接仅首次有效 mongo --eval db.runCommand({connectionStatus: 1}) # 2. 创建 root 用户注意必须在 admin 数据库 mongo EOF use admin db.createUser({ user: root, pwd: StrongPassw0rd!2024, # 至少 12 位含大小写字母、数字、符号 roles: [ { role: root, db: admin } ] }) EOF # 3. 验证用户创建 mongo -u root -p StrongPassw0rd!2024 --authenticationDatabase admin --eval db.runCommand({connectionStatus: 1}).authInfo.authenticatedUsers # 4. 创建应用专用用户以 myapp 数据库为例 mongo -u root -p StrongPassw0rd!2024 --authenticationDatabase admin EOF use myapp db.createUser({ user: appuser, pwd: AppUs3rPss2024, roles: [ { role: readWrite, db: myapp } ] }) EOF实操心得localhost exception是 MongoDB 的后门机制只要mongod未开启authorization首次从127.0.0.1连接可免密创建用户。一旦authorization: enabled生效此机制自动失效。所以必须在重启mongodb服务前完成用户创建。密码切勿用123456或password。我用openssl rand -base64 12 | tr -d / | cut -c1-12生成随机密码再人工加符号。4.4 步骤四AppArmor 配置与验证4 分钟Ubuntu 20.04 的 AppArmor 是免费的 MAC 工具但 MongoDB 官方包不带 profile需手动编写# 1. 创建 profile 文件 cat /etc/apparmor.d/usr.bin.mongod EOF #include tunables/global /usr/bin/mongod { #include abstractions/base #include abstractions/nameservice #include abstractions/user-tmp # MongoDB 数据目录 /var/lib/mongodb/** rwk, /var/lib/mongodb/ r, # 日志目录 /var/log/mongodb/** rw, /var/log/mongodb/ w, # 配置与密钥 /etc/mongod.conf r, /etc/mongo-keyfile r, # 网络访问 network inet stream, network inet6 stream, # 其他必要路径 /proc/sys/vm/swappiness r, /sys/devices/system/node/ r, } EOF # 2. 加载 profile apparmor_parser -r /etc/apparmor.d/usr.bin.mongod # 3. 验证是否启用 aa-status | grep mongod # 应输出 /usr/bin/mongod (enforce) # 4. 检查是否拦截非法行为模拟攻击 # 在另一个终端执行 # echo malicious /etc/shadow # 应被 AppArmor 拦截 # 查日志dmesg | tail -10 | grep mongod避坑指南profile 中#include abstractions/nameservice不能删否则mongod启动时报getaddrinfo failed副本集节点无法解析彼此主机名。network inet stream允许 TCP 连接但network inet raw被禁止防ping扫描。4.5 步骤五防火墙与日志审计2 分钟最后收尾让安全可见、可管# 1. 启用 ufw 并放行内网 ufw --force reset ufw default deny incoming ufw default allow outgoing ufw allow from 192.168.1.0/24 to any port 27017 proto tcp ufw enable # 2. 配置日志轮转 cat /etc/logrotate.d/mongodb EOF /var/log/mongodb/*.log { daily missingok rotate 30 compress delaycompress notifempty create 640 mongodb mongodb sharedscripts postrotate systemctl kill --signalSIGHUP mongodb endscript } EOF # 3. 启用审计规则 auditctl -w /etc/mongod.conf -p wa -k mongo_config auditctl -w /etc/mongo-keyfile -p wa -k mongo_keyfile验证命令ufw status verbose应显示27017/tcp ALLOW IN Anywhere on eth0logrotate -d /etc/logrotate.d/mongodb模拟轮转检查无报错ausearch -k mongo_config | head -5应有审计记录。5. 常见问题与排查技巧那些文档不会写的实战陷阱即使按上述步骤操作仍可能遇到诡异问题。以下是我在 12 个不同客户环境踩过的坑附带一键诊断脚本和根因分析。5.1 问题一systemctl status mongodb显示 active但mongo -u root -p xxx连不上现象systemctl status mongodb输出active (running)netstat -tlnp | grep :27017显示端口监听但客户端连接超时。排查链路sudo journalctl -u mongodb -n 50 --no-pager | grep -i error\|fail—— 查认证模块是否加载sudo ss -tuln | grep :27017—— 确认监听的是127.0.0.1:27017还是*:27017若为后者bindIp配置无效sudo -u mongodb mongod --config /etc/mongod.conf --test—— 用 mongodb 用户身份测试配置避免权限问题。根因与修复根因 1/etc/mongod.conf中net.bindIp写成0.0.0.0Ubuntu 20.04 的ufw默认 deny all0.0.0.0绑定被防火墙拦截。修复sed -i s/bindIp: 0.0.0.0/bindIp: 127.0.0.1,192.168.1.10/ /etc/mongod.conf systemctl restart mongodb。根因 2/etc/mongod.conf的security:段缩进错误YAML 解析失败mongod启动时静默忽略该段authorization实际未开启。修复sudo mongod --config /etc/mongod.conf --dryRun若报Failed to parse config file用yamllint /etc/mongod.conf检查语法。5.2 问题二副本集初始化成功但节点间状态为OTHER现象rs.status().members中节点stateStr是OTHERhealth为0。排查链路sudo journalctl -u mongodb -n 100 --no-pager | grep -i replset\|heartbeat—— 查心跳日志sudo -u mongodb mongo --eval rs.status().members.forEach(m print(m.name : m.health))—— 检查各节点健康值sudo -u mongodb mongo --eval db.adminCommand({getCmdLineOpts:1}).parsed.security—— 确认keyFile路径是否正确加载。根因与修复根因keyFile权限不是600或clusterAuthMode与keyFile不匹配。修复sudo chown mongodb:mongodb /etc/mongo-keyfile sudo chmod 600 /etc/mongo-keyfile sudo systemctl restart mongodb。5.3 问题三ufw allow 27017后外网仍能扫描到服务现象nmap -sV -p 27017 your-public-ip返回27017/tcp open mongodb。根因分析ufw只管 iptables但 Ubuntu 20.04 的 cloud-init 可能配置了iptables-legacy与ufw冲突或mongod绑定了0.0.0.0ufw规则未精确到接口。终极修复# 1. 彻底清空 iptables iptables -F iptables -X iptables -t nat -F iptables -t nat -X # 2. 用 ufw 精确控制 ufw reset ufw default deny incoming ufw allow from 192.168.1.100 to any port 27017 proto tcp # 只允特定 IP ufw enable # 3. 验证 ufw status verbose | grep 27017 # 输出应为27017/tcp ALLOW IN 192.168.1.100 on eth05.4 问题四mongod启动报Failed to set up listener: SocketException: Address already in use现象systemctl status mongodb显示failed日志报端口占用。根因Ubuntu 20.04 的snap版 MongoDBsudo snap install mongodb与apt版冲突snap版默认占27017。修复snap list | grep mongodb # 若有输出卸载 snap 版 sudo snap remove mongodb sudo apt install --reinstall mongodb5.5 问题五AppArmor 报operation not supported现象apparmor_parser -r /etc/apparmor.d/usr.bin.mongod报错。根因Ubuntu 20.04 的 kernel 5.4 默认启用CONFIG_SECURITY_APPARMORy但某些云主机如 AWS EC2的 HVM 镜像可能禁用。验证与修复zcat /proc/config.gz | grep APPARMOR # 若无输出AppArmor 未编译进内核 # 临时方案用 systemd 的 Protect* 指令替代或换用 Ubuntu 22.04内核 5.15 更稳定最后分享一个我压箱底的技巧每次加固完成后用sudo mongodump --uri mongodb://root:StrongPassw0rd!2024127.0.0.1:27017/admin?authSourceadmin --out /tmp/mongo-backup备份 admin 库。这不是为了容灾而是验证认证链路是否打通——mongodump能连上说明authorization、