MongoDB安全设置CentOS怎么操作

MongoDB在CentOS上的安全设置操作指南

1. 系统与MongoDB准备

• 更新系统：运行sudo yum update -y确保CentOS系统为最新版本，修复已知安全漏洞。
• 安装MongoDB官方仓库：
  创建MongoDB官方YUM仓库文件/etc/yum.repos.d/mongodb-org-4.4.repo（以4.4版本为例），内容如下：

  [mongodb-org-4.4]
  name=MongoDB Repository
  baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/4.4/x86_64/
  gpgcheck=1
  enabled=1
  gpgkey=https://www.mongodb.org/static/pgp/server-4.4.asc
  

  导入MongoDB官方GPG密钥：sudo rpm -v --import https://www.mongodb.org/static/pgp/server-4.4.asc。
• 安装MongoDB：执行sudo yum install -y mongodb-org安装最新稳定版MongoDB。
• 启动与开机自启：启动MongoDB服务sudo systemctl start mongod，并设置开机自启动sudo systemctl enable mongod。

2. 启用身份验证（核心安全措施）

• 修改配置文件：编辑/etc/mongod.conf，在security section添加authorization: enabled，强制要求用户认证。
• 重启服务：sudo systemctl restart mongod使配置生效。
• 创建管理员用户：
  连接到MongoDB shell：mongo；切换至admin数据库：use admin；创建具备root权限的管理员账户（替换your_strong_password为复杂密码）：

  db.createUser({
    user: "admin",
    pwd: "your_strong_password",
    roles: [{ role: "root", db: "admin" }]
  });
  

  退出shell：exit。

3. 配置防火墙限制访问

• 开放MongoDB默认端口：
  若使用firewalld，执行以下命令允许27017端口（MongoDB默认端口）的TCP流量：

  sudo firewall-cmd --zone=public --add-port=27017/tcp --permanent
  sudo firewall-cmd --reload
  

  若使用iptables，可添加规则：sudo iptables -A INPUT -p tcp --dport 27017 -j ACCEPT，并保存规则。

4. 限制网络访问范围

• 修改绑定IP：编辑/etc/mongod.conf中的net section，将bindIp设置为127.0.0.1（仅本地访问）或添加特定IP（如192.168.1.100，允许某台服务器访问）：

  net:
    bindIp: 127.0.0.1,192.168.1.100  # 多个IP用逗号分隔
    port: 27017
  

  重启MongoDB服务：sudo systemctl restart mongod。

5. 启用SSL/TLS加密通信

• 生成SSL证书：使用OpenSSL生成自签名证书（生产环境建议使用CA签发的证书）：

  sudo openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 \
    -keyout /etc/ssl/private/mongodb-key.pem \
    -out /etc/ssl/certs/mongodb-cert.pem
  

  将私钥和证书合并为PEM格式（可选）：

  cat /etc/ssl/private/mongodb-key.pem /etc/ssl/certs/mongodb-cert.pem > /etc/ssl/mongodb.pem
  

• 配置MongoDB使用SSL：编辑/etc/mongod.conf中的net.ssl section：

  net:
    ssl:
      mode: requireSSL  # 强制使用SSL
      PEMKeyFile: /etc/ssl/mongodb.pem  # 证书路径
      # CAFile: /etc/ssl/ca.pem  # 若使用CA签发证书，需指定CA路径
  

  重启MongoDB服务：sudo systemctl restart mongod。

6. 细化用户权限管理

• 创建数据库特定用户：根据业务需求为不同数据库创建用户并分配最小权限。例如，为mydatabase数据库创建只读用户：

  mongo -u admin -p your_strong_password --authenticationDatabase admin
  

  在shell中执行：

  use mydatabase
  db.createUser({
    user: "readonlyuser",
    pwd: "readonlypassword",
    roles: [{ role: "read", db: "mydatabase" }]
  });
  

  退出shell：exit。

7. 启用审计日志（可选但推荐）

• 配置审计日志：编辑/etc/mongod.conf中的auditLog section，开启日志记录：

  auditLog:
    destination: file  # 日志输出到文件
    path: /var/log/mongodb/audit.log  # 日志路径
    format: JSON       # 日志格式（JSON或BSON）
    filter: '{}'       # 过滤条件（可选，如仅记录敏感操作）
  

  重启MongoDB服务：sudo systemctl restart mongod。

8. 定期维护与更新

• 更新MongoDB：定期通过sudo yum update mongodb-org更新到最新版本，修复安全漏洞。
• 备份数据：使用mongodump工具定期备份数据库，存储至安全位置。
• 监控日志：定期检查/var/log/mongodb/mongod.log（主日志）和审计日志（若有启用），及时发现异常操作。

通过以上步骤，可全面强化CentOS上MongoDB的安全性，覆盖身份认证、访问控制、加密通信等关键环节。根据实际业务需求，可进一步调整权限策略或启用高级功能（如复制集、分片）。