MongoDB安全加固配置基线v1.0.docxVIP

MongoDB安全加固配置基线

内部 Copyright?上海斗象信息科技有限公司2019AllRightsReservedPAGE\*Arabic2/NUMPAGES\*Arabic14

MongoDB安全加固配置基线

MongoDB安全加固配置基线

目录

TOC\o1-3\h\z\u17128813331.概述 2

13782756961.1适用范围 2

19210061301.2规范依据 2

10808779122.安全配置基线标准 3

7508970112.1安装配置 3

17121541052.1.1安装MongoDB 3

20406565822.2认证 3

20013310842.2.1启用身份验证 3

3351658272.2.2禁用localhostexception 3

2824483082.2.3使用行业标准认证机制 4

11698526862.3访问控制 4

15013053172.3.1配置基于角色的访问控制 4

16530942162.3.2配置监听的网络接口 5

15585470732.3.3使用非特权帐户运行MongoDB 5

16426134522.3.4配置账户权限 6

15020055792.3.5查看用户定义的账户 6

5374957682.4数据加密 6

13751534942.4.1启用TLS或SSL加密 6

9857646442.4.2启用FIPS 7

20575187502.5审计 7

19359472562.5.1启用系统日志审计功能 7

9407958952.5.2配置审计过滤器 8

2.6操作系统加固 8

2630033382.6.1禁用HTTP状态页面 8

7757562402.6.2修改默认端口 8

7619047432.6.3禁用服务器端脚本 9

20355121872.6.4禁用HTTP接口 9

14388301992.6.5禁用通过HTTP接口的JSONP访问 9

17532893732.6.6禁用RESTAPI 9

19113715242.7文件权限 10

2133283952.7.1设置密钥文件权限 10

12601279222.7.2设置数据库文件权限 10

概述

适用范围

本配置基线适用于MongoDB3.0或3.2版本，主要涉及MongoDB数据库安全配置方面的基本要求，用于指导安全例行工作、新系统入网安全检查等场合。

规范依据

根据目前MongoDB数据库安全现状，综合参考安全运维专家意见，结合相关规范性文件指引，制定适合的基线配置规范。

规范性引用文件：

GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》

GB/T28453-2012《信息安全技术信息系统安全管理评估要求》

GB/T25063-2010《信息安全技术服务器安全测评要求》

GB/Z24364-2009《信息安全技术信息安全风险管理指南》

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

GB/T20270-2006《信息安全技术网络基础安全技术要求》

GB/T20271-2006《信息安全技术信息系统通用安全技术要求》

GB/T20269-2006《信息安全技术信息系统安全管理要求》

YD/T2701-2014《电信网和互联网安全防护基线配置要求及检测要求》

安全配置基线标准

安装配置

安装MongoDB

基线名称

安装MongoDB

基线编号

Tophant-MongoDB-1

基线说明

MongoDB安装版本以及补丁级别应该是最新的。

配置方法

1.备份数据。

2.从MongoDB下载页面下载最新MongoDB修订版的二进制文件，并将二进制文件存储在临时位置。

3.关闭MongoDB实例。

4.用下载的二进制文件替换现有的MongoDB二进制文件。

5.重新启动MongoDB实例。

检查方法

在MongoDBshell中运行如下命令：

db.version()

备注

使用最新的MongoDB软件版本以及适用的补丁可以减少软件中存在漏洞的可能性。

认证

启用身份验证

基线名称

启用身份验证

基线编号

Tophant-MongoDB-2

基线说明

启用身份验证，使所用客户端对MongoDB数据库的访问都需要身份验证。

配置方法

使用命令：mongod--auth--confi