- Home »
Настройка удалённого доступа к MongoDB на Ubuntu 24
Настройка удалённого доступа к MongoDB часто становится головной болью для разработчиков и системных администраторов. Особенно на свежих системах вроде Ubuntu 24, где могут измениться некоторые дефолтные настройки. По умолчанию MongoDB слушает только localhost, что логично с точки зрения безопасности, но создаёт проблемы при работе с удалёнными подключениями. Эта статья даст вам пошаговое руководство по настройке безопасного удалённого доступа к MongoDB, разберём типичные подводные камни и покажем, как всё сделать правильно.
Как работает удалённый доступ к MongoDB
MongoDB по умолчанию биндится только на 127.0.0.1:27017, что означает, что подключиться к ней можно только с локальной машины. Для удалённого доступа нужно:
- Изменить bind_ip в конфигурационном файле
- Настроить аутентификацию и авторизацию
- Открыть нужные порты в firewall
- Настроить SSL/TLS для безопасного соединения (рекомендуется)
Архитектура подключения выглядит так: клиент → firewall → MongoDB server → auth check → database access. Каждый этап критически важен для безопасности.
Установка MongoDB на Ubuntu 24
Если у вас ещё нет MongoDB, установим её с официального репозитория:
curl -fsSL https://www.mongodb.org/static/pgp/server-7.0.asc | sudo gpg -o /usr/share/keyrings/mongodb-server-7.0.gpg --dearmor
echo "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-server-7.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/7.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-7.0.list
sudo apt-get update
sudo apt-get install -y mongodb-org
sudo systemctl enable mongod
sudo systemctl start mongod
Для работы с MongoDB вам понадобится качественный VPS-сервер или выделенный сервер с достаточным объёмом RAM и быстрыми дисками.
Создание пользователя администратора
Первым делом создадим администратора базы данных:
mongosh
use admin
db.createUser(
{
user: "admin",
pwd: "your_secure_password_here",
roles: [ { role: "userAdminAnyDatabase", db: "admin" }, "readWriteAnyDatabase" ]
}
)
exit
Настройка конфигурационного файла
Основная магия происходит в файле `/etc/mongod.conf`. Откроем его и внесём изменения:
sudo nano /etc/mongod.conf
Вот как должен выглядеть ключевой раздел:
# network interfaces
net:
port: 27017
bindIp: 0.0.0.0 # Слушаем на всех интерфейсах
# bindIpAll: true # Альтернативный вариант
# security
security:
authorization: enabled
Важно: bindIp: 0.0.0.0 означает, что MongoDB будет слушать на всех сетевых интерфейсах. Это удобно, но потенциально опасно без правильной настройки firewall.
Настройка firewall
Ubuntu 24 поставляется с ufw (Uncomplicated Firewall). Настроим его для безопасного доступа:
# Включаем firewall
sudo ufw enable
# Разрешаем SSH (важно сделать это первым!)
sudo ufw allow ssh
# Разрешаем MongoDB только для конкретных IP
sudo ufw allow from YOUR_CLIENT_IP to any port 27017
# Или для подсети
sudo ufw allow from 192.168.1.0/24 to any port 27017
# Проверяем статус
sudo ufw status verbose
Перезапуск и проверка
Перезапускаем MongoDB с новыми настройками:
sudo systemctl restart mongod
sudo systemctl status mongod
# Проверяем, что MongoDB слушает на нужном порту
sudo netstat -tlnp | grep 27017
# или
sudo ss -tlnp | grep 27017
Тестирование удалённого подключения
С клиентской машины тестируем подключение:
# Базовое подключение
mongosh "mongodb://admin:your_secure_password_here@YOUR_SERVER_IP:27017/admin"
# Или с более детальными параметрами
mongosh --host YOUR_SERVER_IP --port 27017 --username admin --password --authenticationDatabase admin
Практические кейсы и подводные камни
| Проблема | Причина | Решение |
|---|---|---|
| Connection refused | Firewall блокирует подключение | Проверить ufw status, добавить правило для порта 27017 |
| Authentication failed | Неправильные credentials или база auth | Проверить пользователя в базе admin |
| Timeout при подключении | MongoDB не слушает на внешних интерфейсах | Проверить bindIp в конфигурации |
| SSL/TLS ошибки | Неправильная настройка сертификатов | Временно отключить SSL для диагностики |
Настройка SSL/TLS для продакшена
Для продакшен-среды обязательно настройте SSL. Создадим самоподписанный сертификат для тестирования:
# Создаём приватный ключ
sudo openssl genrsa -out /etc/ssl/private/mongodb.key 2048
# Создаём сертификат
sudo openssl req -new -x509 -key /etc/ssl/private/mongodb.key -out /etc/ssl/certs/mongodb.crt -days 365 -subj "/C=US/ST=State/L=City/O=Organization/CN=YOUR_SERVER_IP"
# Объединяем в один файл для MongoDB
sudo cat /etc/ssl/certs/mongodb.crt /etc/ssl/private/mongodb.key > /etc/ssl/mongodb.pem
sudo chmod 600 /etc/ssl/mongodb.pem
sudo chown mongodb:mongodb /etc/ssl/mongodb.pem
Добавляем в `/etc/mongod.conf`:
net:
port: 27017
bindIp: 0.0.0.0
tls:
mode: requireTLS
certificateKeyFile: /etc/ssl/mongodb.pem
Мониторинг и логирование
Настроим подробное логирование для мониторинга подключений:
# В /etc/mongod.conf добавляем:
systemLog:
destination: file
logAppend: true
path: /var/log/mongodb/mongod.log
verbosity: 1
# Смотрим логи в реальном времени
sudo tail -f /var/log/mongodb/mongod.log
Автоматизация и скрипты
Создадим полезный скрипт для автоматической настройки:
#!/bin/bash
# setup-mongodb-remote.sh
set -e
ADMIN_USER="admin"
ADMIN_PASS="$1"
CLIENT_IP="$2"
if [[ -z "$ADMIN_PASS" || -z "$CLIENT_IP" ]]; then
echo "Usage: $0 "
exit 1
fi
# Backup original config
sudo cp /etc/mongod.conf /etc/mongod.conf.backup
# Configure MongoDB
sudo tee -a /etc/mongod.conf.new << EOF
net:
port: 27017
bindIp: 0.0.0.0
security:
authorization: enabled
systemLog:
destination: file
logAppend: true
path: /var/log/mongodb/mongod.log
verbosity: 1
EOF
sudo mv /etc/mongod.conf.new /etc/mongod.conf
# Setup firewall
sudo ufw allow from $CLIENT_IP to any port 27017
# Restart MongoDB
sudo systemctl restart mongod
# Create admin user
mongosh --eval "
use admin
db.createUser({
user: '$ADMIN_USER',
pwd: '$ADMIN_PASS',
roles: ['userAdminAnyDatabase', 'readWriteAnyDatabase']
})
"
echo "MongoDB remote access configured successfully!"
echo "Connect with: mongosh 'mongodb://$ADMIN_USER:$ADMIN_PASS@$(hostname -I | awk '{print $1}'):27017/admin'"
Альтернативные решения
Помимо прямого подключения, существуют альтернативы:
- MongoDB Atlas - облачное решение от MongoDB Inc.
- SSH туннелирование - для особо параноидальных случаев
- VPN подключение - создание приватной сети
- Reverse proxy - через nginx с проксированием TCP
Пример SSH туннелирования:
# На клиентской машине
ssh -L 27017:localhost:27017 user@your-server.com
# Подключение к локальному порту
mongosh "mongodb://admin:password@localhost:27017/admin"
Производительность и оптимизация
Для удалённых подключений важно оптимизировать сетевые настройки:
# В /etc/mongod.conf
net:
port: 27017
bindIp: 0.0.0.0
maxIncomingConnections: 1000
compression:
compressors: snappy,zstd
Интересные факты и нестандартные применения
Знаете ли вы, что MongoDB можно использовать через HTTP REST API? Хотя это не рекомендуется для продакшена, иногда бывает полезно для отладки. Также можно настроить MongoDB как часть микросервисной архитектуры с Docker Swarm или Kubernetes, где удалённый доступ настраивается через Service Discovery.
Ещё один интересный кейс - использование MongoDB как бэкенда для IoT устройств. В этом случае часто настраивают connection pooling и используют специальные драйверы для встраиваемых систем.
Безопасность: что ещё стоит знать
Помимо базовой настройки, рекомендую:
- Использовать fail2ban для защиты от брутфорса
- Настроить ротацию логов
- Регулярно обновлять MongoDB
- Использовать monitoring (Prometheus + Grafana)
- Настроить alerting для подозрительной активности
Конфигурация fail2ban для MongoDB:
# /etc/fail2ban/jail.local
[mongodb]
enabled = true
port = 27017
filter = mongodb
logpath = /var/log/mongodb/mongod.log
maxretry = 5
bantime = 3600
Заключение и рекомендации
Настройка удалённого доступа к MongoDB - это не просто изменение одной строчки в конфиге. Это комплексная задача, требующая внимания к безопасности, производительности и мониторингу. Главные принципы: никогда не открывайте MongoDB в интернет без аутентификации, всегда используйте firewall и по возможности SSL/TLS.
Для разработки и тестирования описанная конфигурация подойдёт идеально. Для продакшена добавьте SSL, мониторинг и резервное копирование. Помните: безопасность - это не функция, а процесс.
Используйте MongoDB Atlas для простых проектов, но если нужен полный контроль над данными и инфраструктурой - настраивайте свой сервер. В любом случае, качественный хостинг с SSD дисками и достаточным объёмом RAM критически важен для производительности MongoDB.
Полезные ссылки:
В этой статье собрана информация и материалы из различных интернет-источников. Мы признаем и ценим работу всех оригинальных авторов, издателей и веб-сайтов. Несмотря на то, что были приложены все усилия для надлежащего указания исходного материала, любая непреднамеренная оплошность или упущение не являются нарушением авторских прав. Все упомянутые товарные знаки, логотипы и изображения являются собственностью соответствующих владельцев. Если вы считаете, что какой-либо контент, использованный в этой статье, нарушает ваши авторские права, немедленно свяжитесь с нами для рассмотрения и принятия оперативных мер.
Данная статья предназначена исключительно для ознакомительных и образовательных целей и не ущемляет права правообладателей. Если какой-либо материал, защищенный авторским правом, был использован без должного упоминания или с нарушением законов об авторском праве, это непреднамеренно, и мы исправим это незамедлительно после уведомления. Обратите внимание, что переиздание, распространение или воспроизведение части или всего содержимого в любой форме запрещено без письменного разрешения автора и владельца веб-сайта. Для получения разрешений или дополнительных запросов, пожалуйста, свяжитесь с нами.
More stories
