mongodb在centos上的安全设置

在CentOS上设置MongoDB的安全参数是一个涉及多个步骤的过程，旨在保护数据库免受未授权访问和其他安全威胁。以下是MongoDB在CentOS上的安全设置指南：

基本安全设置

1. 启用账户认证：

   打开MongoDB配置文件 /etc/mongod.conf，设置 auth=true。如果配置文件为YAML格式，则在 security 选项下设置 authorization: enabled。

2. 创建只读用户：

   创建一个新的只读用户，例如：

   db.createUser({
     user: "readonlyUser",
     pwd: "readonlyPass",
     roles: [ { role: "read", db: "yourDatabase" } ]
   })
   

   或者修改现有用户使其为只读。

3. 修改默认端口：

   编辑 /etc/mongod.conf 文件，更改 port 参数为所需的端口号。

4. 网络访问控制：

   修改 mongod.conf 文件，添加 bind_ip 参数以限制访问到特定的IP地址或网络。

5. 启用SSL/TLS加密通信：

   生成或获取有效的SSL证书和私钥文件，在 mongod.conf 配置文件中添加以下参数：

   net:
     ssl:
       mode: requireSSL
       sslPEMKeyFile: /path/to/your/ssl.pem
       sslCAFile: /path/to/your/ca.pem
   

   重新启动MongoDB服务使配置生效。

6. 配置防火墙：

   使用 firewall-cmd 命令添加规则以保护MongoDB的端口，例如：

   sudo firewall-cmd --permanent --add-port=27017/tcp
   sudo firewall-cmd --reload
   

7. 定期更新和打补丁：

   定期检查MongoDB的安全更新和补丁，并及时应用最新的安全补丁。

8. 审计日志：

   启用审计日志记录所有用户的操作，定期审查和分析审计日志以检测异常行为。

高级安全设置

• 使用角色基础的访问控制（Role-Based Access Control, RBAC）：

  创建自定义角色以细粒度控制用户权限。例如：

  db.createRole({
    role: "readWriteLimited",
    privileges: [
      { resource: { db: "yourDatabase", collection: "" }, actions: [ "find", "update" ] }
    ],
    roles: []
  })
  

  将自定义角色分配给用户。

• 存储加密：

  对于支持的企业版MongoDB，可以使用存储加密功能来保护数据在磁盘上的安全。

注意事项

• 在进行任何安全配置更改后，请确保重启MongoDB服务以使更改生效。
• 定期检查和更新安全设置，以应对新的安全威胁。

通过上述步骤，可以显著提高MongoDB在CentOS上的安全性。务必遵循最佳实践，并定期审查和更新安全策略，以确保数据库的持续安全。