Ubuntu怎么开启MongoDB的IP Security

MongoDB3.6的默认配置会拒绝未授权的链接对公共网络的访问，从而保护数据收到外部威胁。MongoDB只会监听本地链接，除非添加规则允许监听其他地址。

看本教程前，你需要：

• 安装MongoDB3.6
• 服务器上有多个网络接口（本例会使用AWS EC2实例）
• 了解IP网络的基本知识，会配置私有IP

我启动了安装有 Ubuntu 16.04 LTS的一台AWS EC2的实例，并且安装了MongoDB3.6我想允许我的部分VPC IP地址连接到我们的MongoDB数据库。通过这种方式，可以保证只有我们的指定IP以及本机才能连接到数据库，而其他陌生地址禁止访问数据库。

首先启动VPC公共子网中的Ubuntu实例。根据MongoDB官网文档安装mongodb3.6，通过以下命令可以查看进程占用了那个网络端口：

ubuntu@ip-172-16-0-211:~$ sudo netstat -plant | egrep mongodtcp        0      0 127.0.0.1:27017        0.0.0.0:*              LISTEN      2549/mongod

命令结果输出显示用户只允许通过本机的27017端口进行访问，如果想其他系统访问数据库，就需要进行IP绑定。运行ifconfig命令

ubuntu@ip-172-16-0-211:~$ ifconfigeth0      Link encap:Ethernet  HWaddr 0e:5e:76:83:49:3einet addr:172.16.0.211  Bcast:172.16.0.255  Mask:255.255.255.0inet6 addr: fe80::c5e:76ff:fe83:493e/64 Scope:LinkUP BROADCAST RUNNING MULTICAST  MTU:9001  Metric:1RX packets:65521 errors:0 dropped:0 overruns:0 frame:0TX packets:7358 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:1000RX bytes:94354063 (94.3 MB)  TX bytes:611646 (611.6 KB)

现在我们知道了我们想要监听的网络地址，打开/etc/mongodb.conf文件，进行编辑，文件修改后如下：

# network interfacesnet:port: 27017bindIp: 127.0.0.1,172.16.0.211

现在文件中就添加了一个IP地址172.16.0.211， 重启mongod服务。

ubuntu@ip-172-16-0-211:~$ sudo service mongod stopubuntu@ip-172-16-0-211:~$ sudo service mongod startubuntu@ip-172-16-0-211:~$ sudo netstat -plnt | egrep mongodtcp        0      0 172.16.0.211:27017      0.0.0.0:*              LISTEN      2892/mongodtcp        0      0 127.0.0.1:27017        0.0.0.0:*              LISTEN      2892/mongod

可以看到现在除了本机，数据库还可以接受指定的IP的请求。通过本机连接：

ubuntu@ip-172-16-0-211:~$ mongo localhostMongoDB shell version v3.6.0-rc2connecting to: mongodb://127.0.0.1:27017/localhost

通过指定IP连接

ubuntu@ip-172-16-0-211:~$ mongo 172.16.0.211MongoDB shell version v3.6.0-rc2connecting to: mongodb://172.16.0.211:27017/test

默认的本机配置是有很多好处的，但是现在就需要明确指定那些网络可以连接数据库，防止不信任的网络连接到系统。保证MongoDB系统不受远程攻击是非常重要的，确保只有在安全清单上的IP才能连接到系统。