centos上mongodb安全設置

在CentOS上設置MongoDB的安全措施主要包括以下幾個方面：

1. 啟用身份驗證和授權

• 編輯MongoDB配置文件 /etc/mongod.conf，在 security 部分啟用授權：

  security:
    authorization: enabled
  

• 創建管理員賬戶，使用 mongo shell連接到MongoDB并創建管理員用戶：

  use admin
  db.createUser({
    user: "admin",
    pwd: "your_strong_password",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  })
  

• 賦予管理員賬戶權限：

  db.grantRolesToUser( "admin" , [ { role: "userAdminAnyDatabase" , db: "admin" } ])
  

2. 配置基于角色的訪問控制（RBAC）

• 根據用戶的角色向用戶授予特定權限，確保最小權限原則。例如，創建一個管理員賬戶和一個普通用戶賬戶，并為它們分配適當的角色和權限。

3. 加密通信

• 使用TLS/SSL加密客戶端和服務器之間的通信，保護數據傳輸過程中的安全。這通常涉及到生成SSL證書并在MongoDB配置中啟用TLS/SSL。
• 編輯 /etc/mongod.conf 文件，添加SSL配置：

  net:
    ssl:
      mode: requireSSL
      PEMKeyFile: /path/to/your/ssl.pem
      CAFile: /path/to/your/ca.pem
  

• 重啟MongoDB服務使配置生效：

  sudo systemctl restart mongod
  

4. 限制網絡暴露

• 通過配置 bind_ip 來限制數據庫服務器只在與該配置項關聯的接口上偵聽。例如，只允許本地訪問可以通過將 bindIp 設置為 127.0.0.1 。
• 使用 firewalld 配置防火墻規則，只允許特定IP地址訪問MongoDB端口（默認是27017）：

  sudo firewall-cmd --permanent --zone=public --add-port=27017/tcp
  sudo firewall-cmd --reload
  

5. 審計日志

• 啟用審計日志記錄所有用戶的操作，以便在出現安全事件時進行追蹤和分析。在MongoDB配置文件中啟用審計日志功能：

  systemLog:
    destination: file
    logAppend: true
    path: /var/log/mongodb/mongod.log
  

6. 數據備份和恢復

• 定期備份MongoDB數據，確保數據的完整性和可恢復性。

7. 安全更新和補丁管理

• 定期檢查MongoDB的安全更新和補丁，及時應用最新的安全補丁以修復已知漏洞。

8. SELinux配置（可選）

• 如果啟用了SELinux，并且你遇到了與MongoDB相關的權限問題，可能需要調整SELinux策略以允許MongoDB正常運行。

通過以上步驟，可以顯著提高MongoDB在CentOS上的安全性。請根據實際需求和環境調整配置。