方式一 iptables设置
Linux防火墙设置只有应用程序所在的服务器ip才能访问MongoDB所在的服务器。
Linux禁止某个IP地址访问其实非常的简单,最常用的办法就是使用iptalbes来操作。这个方法跟MongoDB本身没有关系,而是借用Linux的iptalbes功能,限制允许访问MongoDB端口的ip地址,具体做法(ip和端口需要读者自己对应)如下:
# 拒绝所有访问27017端口的请求
sudo iptables -I INPUT -p tcp --dport 27017 -j DROP
# 允许192.168.1.1服务器访问mongo端口
sudo iptables -I INPUT -s 192.168.1.1 -p tcp --dport 27017 -j ACCEPT
sudo iptables-save
或者
vi /etc/sysconfig/iptables
把
iptables -I INPUT -p tcp --dport 27017 -j DROP
iptables -I INPUT -s 192.168.1.1 -p tcp --dport 27017 -j ACCEPT
这两句加在
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
的前面。
然后重启防火墙
service iptables restart
查看防火墙状态
service iptables status
这样就只允许192.168.1.1服务器访问MongoDB服务了。
注意命令的顺序不能反了。如果不只限制一个端口而是限制所有端口的访问把--dport 27017去掉即可。
方式二 hosts.allow和hosts.deny
Linux中的配置文件/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。执行的顺序是先deny再allow,所以如果两个文件的配置有冲突,以/etc/hosts.allow为准。
/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过它们可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。服务用进程名来识别,比如MongoDB的服务进程名是mongod,我们限制所有ip访问,除非ip是192.168.1.1。
编辑hosts.deny:
vi /etc/hosts.deny
拒绝一切ip访问MongoDB服务输入内容:
# no mongod
mongod:all:deny
Esc输入:wq保存离开。
mongod:all:deny表示拒绝所有ip访问mongod服务。:deny可以省略写成mongod:all。
编辑hosts.allow:
vi /etc/hosts.allow
允许192.168.1.1访问MongoDB服务输入内容:
mongod:192.168.1.1
Esc输入:wq保存离开。
修改完后重启拦截器让刚才的更改生效:
service xinetd restart
经过设置之后需要进行校验,测试限制是否生效,如果是比较重要的数据,不满足于限制ip访问,那就把用户认证加上,这个需要读者自己权衡。
对于安全度要求高的数据库,还可以启用SSL。
如果你没有使用SSL,那么你在MongoDB客户端和MongoDB服务器之间的传输的数据就是明文的,容易受到窃听、篡改和“中间人”攻击。如果你是通过公网这样的非安全网络连接到MongoDB服务器,那么启用SSL就显得非常重要。
详细的SSL配置可以查看官网:
https://docs.mongodb.com/manual/tutorial/configure-ssl/ 。
方式三 不要将MongoDB与其他服务部署到同一机器上
请在启动MongoDB时关闭NUMA功能,按照提示在启动命令前加上 numactl --interleave选项,启动时使用命令如下:
numactl --interleave=all mongod --dbpath=/data/db/ --fork --logpath=/data/logs/db.log
如果系统中没有numactl命令,使用yum安装
yum install -y numactl
再使用命令
echo 0 > /proc/sys/vm/zone_reclaim_mode
vi /proc/sys/vm/zone_reclaim_mode
sysctl -w vm.zone_reclaim_mode=0
Linux防火墙设置只有应用程序所在的服务器ip才能访问MongoDB所在的服务器。
Linux禁止某个IP地址访问其实非常的简单,最常用的办法就是使用iptalbes来操作。这个方法跟MongoDB本身没有关系,而是借用Linux的iptalbes功能,限制允许访问MongoDB端口的ip地址,具体做法(ip和端口需要读者自己对应)如下:
# 拒绝所有访问27017端口的请求
sudo iptables -I INPUT -p tcp --dport 27017 -j DROP
# 允许192.168.1.1服务器访问mongo端口
sudo iptables -I INPUT -s 192.168.1.1 -p tcp --dport 27017 -j ACCEPT
sudo iptables-save
或者
vi /etc/sysconfig/iptables
把
iptables -I INPUT -p tcp --dport 27017 -j DROP
iptables -I INPUT -s 192.168.1.1 -p tcp --dport 27017 -j ACCEPT
这两句加在
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
的前面。
然后重启防火墙
service iptables restart
查看防火墙状态
service iptables status
这样就只允许192.168.1.1服务器访问MongoDB服务了。
注意命令的顺序不能反了。如果不只限制一个端口而是限制所有端口的访问把--dport 27017去掉即可。
方式二 hosts.allow和hosts.deny
Linux中的配置文件/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。执行的顺序是先deny再allow,所以如果两个文件的配置有冲突,以/etc/hosts.allow为准。
/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过它们可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务。服务用进程名来识别,比如MongoDB的服务进程名是mongod,我们限制所有ip访问,除非ip是192.168.1.1。
编辑hosts.deny:
vi /etc/hosts.deny
拒绝一切ip访问MongoDB服务输入内容:
# no mongod
mongod:all:deny
Esc输入:wq保存离开。
mongod:all:deny表示拒绝所有ip访问mongod服务。:deny可以省略写成mongod:all。
编辑hosts.allow:
vi /etc/hosts.allow
允许192.168.1.1访问MongoDB服务输入内容:
mongod:192.168.1.1
Esc输入:wq保存离开。
修改完后重启拦截器让刚才的更改生效:
service xinetd restart
经过设置之后需要进行校验,测试限制是否生效,如果是比较重要的数据,不满足于限制ip访问,那就把用户认证加上,这个需要读者自己权衡。
对于安全度要求高的数据库,还可以启用SSL。
如果你没有使用SSL,那么你在MongoDB客户端和MongoDB服务器之间的传输的数据就是明文的,容易受到窃听、篡改和“中间人”攻击。如果你是通过公网这样的非安全网络连接到MongoDB服务器,那么启用SSL就显得非常重要。
详细的SSL配置可以查看官网:
https://docs.mongodb.com/manual/tutorial/configure-ssl/ 。
方式三 不要将MongoDB与其他服务部署到同一机器上
请在启动MongoDB时关闭NUMA功能,按照提示在启动命令前加上 numactl --interleave选项,启动时使用命令如下:
numactl --interleave=all mongod --dbpath=/data/db/ --fork --logpath=/data/logs/db.log
如果系统中没有numactl命令,使用yum安装
yum install -y numactl
再使用命令
echo 0 > /proc/sys/vm/zone_reclaim_mode
vi /proc/sys/vm/zone_reclaim_mode
sysctl -w vm.zone_reclaim_mode=0
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/15498/viewspace-2145731/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/15498/viewspace-2145731/
扫一扫
2553
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
