Ubuntu MongoDB如何进行数据加密

Ubuntu下MongoDB数据加密可通过以下方式实现：

一、传输加密（TLS/SSL）

1. 生成证书：用openssl生成自签名证书或从CA获取有效证书。

   openssl req -newkey rsa:2048 -x509 -days 365 -nodes -out mongodb-cert.crt -keyout mongodb-cert.key  
   

2. 配置服务端：修改/etc/mongod.conf，启用SSL并指定证书路径。

   net:  
     ssl:  
       mode: requireSSL  
       PEMKeyFile: /path/to/mongodb-cert.key  
       CAFile: /path/to/mongodb-cert.crt  # 可选，用于验证客户端证书  
   

3. 重启服务：

   sudo systemctl restart mongod  
   

二、静态数据加密（透明数据加密，TDE）

1. 生成加密密钥：

   sudo dd if=/dev/urandom of=/etc/mongodb-keyfile bs=512 count=1  
   sudo chmod 400 /etc/mongodb-keyfile  
   sudo chown mongodb:mongodb /etc/mongodb-keyfile  
   

2. 配置服务端：在/etc/mongod.conf中启用加密。

   security:  
     enableEncryption: true  
     encryptionCipherMode: AES256-CBC  
     encryptionKeyFile: /etc/mongodb-keyfile  
   

3. 重启服务：

   sudo systemctl restart mongod  
   

三、字段级加密（FLE，需MongoDB 4.2+）

1. 客户端加密：在应用层使用SDK对敏感字段加密后写入数据库，需配合服务端密钥管理。
2. 服务端配置：启用密钥管理（如KMS），并在/etc/mongod.conf中配置加密参数。

四、验证加密

1. 检查服务端状态：

   mongo --eval "db.runCommand({ serverStatus: 1 })" | grep -i encryption  
   

   输出中应包含加密模式和密钥文件信息。

注意事项

• 生产环境建议使用CA签名的证书，避免自签名证书的安全风险。
• 定期轮换加密密钥和证书，确保密钥安全。
• 静态加密仅保护存储数据，传输仍需配合TLS/SSL。

参考来源：