MongoDB在CentOS上如何进行安全配置

在CentOS上为MongoDB设置安全性是非常重要的，以下是一些基本步骤和建议：

1. 启用身份验证

• 编辑MongoDB配置文件：打开 /etc/mongod.conf。
• 启用身份验证：找到并修改以下行：

  security:
    authorization: enabled
  

• 重启MongoDB服务：保存并关闭配置文件，然后重启MongoDB服务以应用更改。

  sudo systemctl restart mongod
  

2. 创建管理员账户

• 连接到MongoDB shell：

  mongo
  

• 切换到admin数据库：

  use admin
  

• 创建一个管理员账户：

  db.createUser({
    user: "admin",
    pwd: "your_strong_password",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  })
  

• 赋予管理员账户权限：

  db.grantRolesToUser("admin", [ { role: "userAdminAnyDatabase", db: "admin" } ])
  

3. 创建普通用户

• 切换到您想要设置用户的数据库：

  use your_database
  

• 创建一个普通用户：

  db.createUser({
    user: "your_username",
    pwd: "your_password",
    roles: [ { role: "readWrite", db: "your_database" } ]
  })
  

• 赋予普通用户权限：

  db.grantRolesToUser("your_username", [ { role: "readWrite", db: "your_database" } ])
  

4. 配置防火墙

• 使用firewalld配置防火墙规则，只允许本地访问MongoDB端口（默认是27017）：

  sudo firewall-cmd --permanent --zone=public --add-port=27017/tcp
  sudo firewall-cmd --reload
  

5. 绑定IP地址

• 修改MongoDB配置文件，将 bindIp 设置为 127.0.0.1，仅允许本地连接：

  net:
    port: 27017
    bindIp: 127.0.0.1
  

• 重启MongoDB服务使配置生效。

6. 使用SSL/TLS加密连接

• 生成SSL证书和密钥文件，然后在 /etc/mongod.conf中配置SSL/TLS：

  sudo openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout /etc/ssl/mongodb.key -out /etc/ssl/mongodb.crt
  

  net:
    ssl:
      mode: requireSSL
      PEMKeyFile: /etc/ssl/mongodb.key
      CAFile: /etc/ssl/mongodb.crt
  

• 重启MongoDB服务。

7. 定期更新和维护

• 定期更新MongoDB到最新版本，并进行安全审计和维护。
• 定期备份数据库，以防数据丢失。
• 启用审计日志，记录所有数据库操作。