MongoDB安全实战之审计

2018 年 2 月 3 日 大数据和云计算技术 邓开表

邓开表同学实战MongoDB系列文章，非常不错，赞！大力推荐！

本文主要讲诉MongoDB的审计能力。在数据库安全的生命周期中，包括：保护、检测、响应及补救。检测的核心就是审计（Audit）。有些情况下，审计不仅仅用于检测不好的行为，也作为对整个数据库的行为进行监控而存在。审计能够告诉我们谁访问了什么、在什么地方、什么时间、采用了何种方式。

前面系列文章：

MongoDB安全实战之Kerberos认证

MongoDB Compass--MongoDB DBA必备的管理工具

1、前言

在数据库安全的生命周期中，包括：保护、检测、响应及补救。检测的核心就是审计（Audit）。有些情况下，审计不仅仅用于检测不好的行为，也作为对整个数据库的行为进行监控而存在。审计能够告诉我们谁访问了什么、在什么地方、什么时间、采用了何种方式。

有效的审计不仅仅意味着安全，也有助于数据库整体的完善。

MongoDB企业版包括审计mongod服务和mongos路由器能力。允许管理员和用户跟踪系统活动，支持各种操作审计。一个完整的审计解决方案必须包括所有的mongod服务和mongos路由器进程。

MongoDB的审计机构能够将审计事件日志以输出在控制台(console)，syslog，JSON文件或一个BSON文件四种方式显示。具体如何配置审计，步骤如下：

2、启用和配置审计的输出格式

使用--auditDestination配置项来启用MongoDB审计和指定输出的审计事件。

2.1

2.1 审计日志输出到syslog，如：

mongod --dbpath /var/lib/mongo --auditDestination syslog

或者，在MongoDB配置文件设置，如下：

auditLog:

destination: syslog

2.2

2.2 审计日志输出到console控制台

mongod --dbpath /var/lib/mongo --auditDestination console

或者，在MongoDB配置文件添加以下配置：

auditLog:

destination: console

2.3

2.3与console、syslog不同，为了使审计以一个JSON格式文件输出审计事件，需要指定auditDestination设置文件，并设置--auditFormat JSON，输出文件名--auditpath路径。

mongod --dbpath /var/lib/mongo --auditDestination file --auditFormat JSON --auditPath /var/lib/mongo/auditLog.json

或者，在MongoDB配置文件添加以下配置：

auditLog:

destination: file

format: JSON

path: /var/lib/auditLog.json

2.4

2.4与JSON文件相似，以BSON格式输出审计事件，需要设置--auditDestination为文件file，以及设置--auditFormat、--auditPath这两个配置项。

mongod --dbpath /var/lib/mongo --auditDestination file --auditFormat BSON --auditPath /var/lib/mongo/auditLog.bson

或者，在MongoDB配置文件添加以下配置：

auditLog:

destination: file

format: BSON

path: /var/lib/auditLog.bson

使用bosndump命令将bosn文件转换成可读的信息输出在终端：

bsondump /var/lib/mongo/auditLog.bson

注意：JSON和BSON输出格式相比，以JSON格式输出对服务器性能影响比较大。

4.14.1

3、配置审计过滤器

MongoDB Enterprise版本支持各种操作的审计。当开启MongoDB审计时，默认情况下，记录所有审计操作，在审计事件的动作，详细信息和结果。如果需要指定要记录的事件，审计的特征，则在--auditFilter配置项。

--auditFilter配置项以一个查询文档的字符串格式表示。语法如下：

{<field1>:<expression1>,...}

<field1>: <字段>可以在审计信息的任何内容领域，包括在文档返回字段。

<expression>: 指查询条件的表达式。

3.1

3.1 审计内容领域主要包括以下：

字段	类型	记录描述
atype	string	记录审计事件的行动，详细信息和结果。
ts	document	文档包含”$date”日期键值对，其中是以时间戳格式的值
local	document	文档包含ip键值对，及port键值对
remote	document	文档包含与事件相关联的远程连接ip键值对和port键值对
users	array	用户识别文档数组。由于MongoDB允许登录不同的用户数据库，该数组可以有一个以上的用户。每个文档包含用户名的user字段和该用户身份验证数据库的db字段。
roles	array	指定给用户的角色的文档数组，每个文档包含角色名称的role字段和该角色关联的数据库的db字段。
param	document	定义审计事件的具体细节，详细可以查看表2
result	integer	错误代码

表1

3.2

3.2 审计事件行为，细节信息和结果

以下表2列出了每一个atype的相关参数细节和结果值：

atype	param	result
authenticate	{ user: <user name>, db: <database>, mechanism: <mechanism> }	0-表示成功 18-表示认证失败
authCheck	{ command: <name>, ns: <database>.<collection>, (可选) args: <command object> (args可编辑) }	0-表示成功 13-没有权限的操作
createCollection	{ns: <database>.<collection>}	0-表示成功
createDatabase	{ns: <database>}	0-表示成功
createIndex	{ ns: <database>.<collection>, indexName: <index name>, indexSpec: <index specification> }	0-表示成功
renameCollection	{ old: <database>.<collection> new: <database>.<collection> }	0-表示成功
dropCollection	{ns: <database>.<collection>}	0-表示成功
dropDatabase	{ns: <database>}	0-表示成功
dropIndex	{ ns: <database>.<collection>, indexName: <index name> }	0-表示成功
createUser	{ user: <user name>, db: <database>, customData: <document>, roles: [ { role: <role name>, db: <database> }, ... ] }	0-表示成功
dropUser	{ user: <user name>, db: <database>	0-表示成功
dropAllUsersFromDatabase	{db: <database>}	0-表示成功
updateUser	{ user: <user name>, db: <database>, passwordChanged: <boolean>, customData: <document>, (可选) roles: [ { role: <role name>, db: <database> }, ... ] }	0-表示成功
enableSharding	{ns: <database>}	0-表示成功
removeShard	{shard: <shard name>}	0-表示成功
shutdown	{}	0-表示成功