centos上mongodb安全设置

在CentOS上设置MongoDB的安全措施主要包括以下几个方面：

1. 启用身份验证和授权

• 编辑MongoDB配置文件 /etc/mongod.conf，在 security 部分启用授权：

  security:
    authorization: enabled
  

• 创建管理员账户，使用 mongo shell连接到MongoDB并创建管理员用户：

  use admin
  db.createUser({
    user: "admin",
    pwd: "your_strong_password",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  })
  

• 赋予管理员账户权限：

  db.grantRolesToUser( "admin" , [ { role: "userAdminAnyDatabase" , db: "admin" } ])
  

2. 配置基于角色的访问控制（RBAC）

• 根据用户的角色向用户授予特定权限，确保最小权限原则。例如，创建一个管理员账户和一个普通用户账户，并为它们分配适当的角色和权限。

3. 加密通信

• 使用TLS/SSL加密客户端和服务器之间的通信，保护数据传输过程中的安全。这通常涉及到生成SSL证书并在MongoDB配置中启用TLS/SSL。
• 编辑 /etc/mongod.conf 文件，添加SSL配置：

  net:
    ssl:
      mode: requireSSL
      PEMKeyFile: /path/to/your/ssl.pem
      CAFile: /path/to/your/ca.pem
  

• 重启MongoDB服务使配置生效：

  sudo systemctl restart mongod
  

4. 限制网络暴露

• 通过配置 bind_ip 来限制数据库服务器只在与该配置项关联的接口上侦听。例如，只允许本地访问可以通过将 bindIp 设置为 127.0.0.1 。
• 使用 firewalld 配置防火墙规则，只允许特定IP地址访问MongoDB端口（默认是27017）：

  sudo firewall-cmd --permanent --zone=public --add-port=27017/tcp
  sudo firewall-cmd --reload
  

5. 审计日志

• 启用审计日志记录所有用户的操作，以便在出现安全事件时进行追踪和分析。在MongoDB配置文件中启用审计日志功能：

  systemLog:
    destination: file
    logAppend: true
    path: /var/log/mongodb/mongod.log
  

6. 数据备份和恢复

• 定期备份MongoDB数据，确保数据的完整性和可恢复性。

7. 安全更新和补丁管理

• 定期检查MongoDB的安全更新和补丁，及时应用最新的安全补丁以修复已知漏洞。

8. SELinux配置（可选）

• 如果启用了SELinux，并且你遇到了与MongoDB相关的权限问题，可能需要调整SELinux策略以允许MongoDB正常运行。

通过以上步骤，可以显著提高MongoDB在CentOS上的安全性。请根据实际需求和环境调整配置。