Pour stocker ses données, Shinken Entreprise utilise le système de base de données MongoDB.
Par défaut, un paramètre permet de n'autoriser que les connexions à destination de sa boucle locale 127.0.0.1 ( Voir le chapitre sécurisation via le paramètre bind_ip ).
Cependant, si vous souhaitez autoriser MongoDB à écouter les requêtes à destination d'autres interfaces du serveur (afin que d'autres serveurs puissent se connecter sur la base MongoDB par exemple), nous vous conseillons alors de créer des règles Iptables afin de n'autoriser uniquement ces serveurs spécifiques. ( Voir le chapitre sécurisation via iptables ).
Lors de l'installation de Shinken, MongoDB est installé et le paramétrage par défaut est dans /etc/mongod.conf.
Par défaut, le paramètre bind_ip permettant de spécifier l'interface d'écoute de MongoDB est à 127.0.0.1 :
# Listen to local interface only. Comment out to listen on all interfaces. bind_ip=127.0.0.1 |
Activation de iptables comme service :
chkconfig iptables on
Les commandes iptables :
iptables -A INPUT -s 127.0.0.1,172.16.0.1,192.168.1.241 -p tcp --destination-port 27017 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1,172.16.0.1,192.168.1.241 -p tcp --source-port 27017 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 27017 -j DROP
iptables -A OUTPUT -p tcp -d 0.0.0.0/0 --sport 27017 -j DROP
Sauvegarde :
service iptables save
Liste des regles :
iptables -L
Reset des regles :
iptables -F