MongoDB在CentOS上的安全配置有哪些

在CentOS上配置MongoDB的安全措施主要包括以下几个方面：

1. 启用账户认证：

   • 编辑MongoDB配置文件 /etc/mongod.conf，设置 security.authorization 为 enabled。
   • 示例配置：

     security:
       authorization: enabled
     

   • 重启MongoDB服务以应用配置变更：

     sudo systemctl restart mongod
     

2. 创建和管理用户：

   • 使用MongoDB shell创建用户并分配角色。例如，创建一个名为 readonlyUser 的用户，该用户具有只读权限：

     use yourDatabase;
     db.createUser({
       user: "readonlyUser",
       pwd: "readonlyPass",
       roles: [ { role: "read", db: "yourDatabase" } ]
     });
     

3. 修改默认端口：

   • 编辑 /etc/mongod.conf 文件，修改 net.port 为所需的端口号（例如27017）。
   • 示例配置：

     net:
       port: 27017
     

4. 配置网络访问控制：

   • 通过 bindIp 选项限制MongoDB服务器只监听特定IP地址。例如，只允许本机访问：

     net:
       bindIp: 127.0.0.1
     

5. 启用TLS/SSL：

   • 配置MongoDB使用TLS/SSL加密通信，以保障数据传输的安全性。
   • 生成SSL证书和密钥文件，并在 mongod.conf 中添加以下配置：

     net:
       ssl:
         mode: requireSSL
         PEMKeyFile: /path/to/mongodb-cert.pem
     

6. 定期更新和补丁管理：

   • 定期更新MongoDB和操作系统，以修复已知漏洞。

7. 使用防火墙限制访问：

   • 配置防火墙规则，仅允许特定IP地址访问MongoDB服务。例如，使用 iptables：

     sudo iptables -A INPUT -p tcp --dport 27017 -j ACCEPT
     sudo service iptables save
     

8. 启用审计日志（可选）：

   • 记录所有用户的操作，以便在出现安全事件时进行追踪和分析。
   • 在 mongod.conf 中启用审计日志：

     security:
       auditLog:
         destination: file
         format: JSON
         path: /var/log/mongodb/audit.json
     

9. 限制远程访问：

   • 仅允许特定IP地址或主机名连接到数据库，通过配置 bindIp 和防火墙实现。

通过以上步骤，可以显著提高MongoDB在CentOS上的安全性。请根据你的具体需求和环境调整配置。