在CentOS系统下保障MongoDB的安全,可以采取以下措施:
启用身份验证:
编辑MongoDB配置文件 /etc/mongod.conf,在 security 部分启用授权:
security:
authorization: enabled
保存更改并重启MongoDB服务:
sudo systemctl restart mongod
创建管理员账户: 使用MongoDB shell连接到MongoDB,创建管理员账户并为其分配角色和权限:
mongo
use admin
db.createUser({
user: "admin",
pwd: "your_strong_password",
roles: [ { role: "root", db: "admin" } ]
})
配置防火墙:
使用 firewalld 配置防火墙规则,只允许特定IP地址或网段访问MongoDB端口(默认是27017):
sudo firewall-cmd --permanent --zone=public --add-port=27017/tcp
sudo firewall-cmd --reload
限制网络访问:
在MongoDB配置文件中设置 bindIp,仅允许本地连接或特定IP地址访问:
net:
bindIp: 127.0.0.1,192.168.1.100
使用SSL/TLS加密通信: 生成或获取SSL证书和私钥文件,然后在MongoDB配置文件中配置SSL/TLS:
net:
ssl:
mode: requireSSL
PEMKeyFile: /path/to/your/ssl.pem
CAFile: /path/to/your/ca.pem
定期备份: 创建备份脚本并配置自动执行,以确保数据的安全性。
更新MongoDB: 确保MongoDB版本是最新的,以利用最新的安全修复。
SELinux策略: 如果系统使用SELinux,可能需要创建特定的策略来允许MongoDB的正常运行。
审计日志: 启用审计日志,记录所有数据库操作,以便进行审计和监控。
通过以上步骤,可以显著提高CentOS上MongoDB的安全性。