CentOS中MongoDB安全设置怎么做

在CentOS中设置MongoDB的安全措施主要包括启用身份验证、配置网络访问控制、加密通信、限制网络曝光以及使用专用的用户运行MongoDB。以下是详细的步骤：

1. 启用身份验证

• 编辑配置文件：打开MongoDB的配置文件 /etc/mongod.conf，在 security 部分设置 authorization: enabled。
• 重启服务：保存配置文件后，重启MongoDB服务以应用更改。

  sudo systemctl restart mongod
  

  复制代码

2. 创建管理员用户

• 连接到MongoDB shell：使用以下命令连接到MongoDB shell：

  mongo -u root -p --authenticationDatabase "admin"
  

  复制代码
• 创建管理员用户：在 admin 数据库中创建一个管理员用户。

  use admin
  db.createUser({
    user: "admin",
    pwd: "your_strong_password",
    roles: [ { role: "root", db: "admin" } ]
  })
  

  复制代码

3. 为现有数据库设置密码

• 连接到MongoDB shell：使用管理员账户连接到MongoDB shell。
• 为现有数据库设置密码：切换到需要设置密码的数据库，然后为用户创建密码。

  use your_database
  db.createUser({
    user: "your_username",
    pwd: "your_password",
    roles: [ { role: "readWrite", db: "your_database" } ]
  })
  

  复制代码

4. 配置网络访问控制

• 修改配置文件：在 mongod.conf 中设置 bindIp 为你的服务器IP地址，以限制访问。

  net:
    port: 27017
    bindIp: 192.168.1.100  # 替换为你的服务器IP地址
  

  复制代码
• 重启服务：保存配置文件并重启MongoDB服务。

5. 加密通信

• 生成SSL证书：使用OpenSSL生成SSL证书和密钥文件。

  openssl req -newkey rsa:2048 -new -x509 -days 365 -nodes -out mongodb-cert.crt -keyout mongodb-cert.key
  

  复制代码
• 配置MongoDB使用SSL：在 mongod.conf 中添加以下配置并重启服务。

  net:
    ssl:
      mode: requireSSL
      PEMKeyFile: /path/to/mongodb-cert.pem
  

  复制代码

6. 限制网络曝光

• 使用防火墙：配置防火墙（如iptables或ufw）以限制对MongoDB端口的访问。

  sudo iptables -A INPUT -p tcp --dport 27017 -j ACCEPT
  sudo service iptables save
  

  复制代码

7. 使用专用的用户运行MongoDB

• 创建专用用户：为运行MongoDB的用户创建专用账户，并限制其权限。

  sudo useradd -r -s /sbin/nologin mongodb
  sudo chown -R mongodb:mongodb /usr/local/mongodb
  

  复制代码

通过以上步骤，你可以显著提高CentOS上MongoDB的安全性。请根据你的具体需求和环境调整配置。