centos下mongodb安全配置

在CentOS系统下，MongoDB的安全配置主要包括以下几个方面：

1. 启用身份验证： 在/etc/mongod.conf文件中，找到security部分并设置authorization为enabled。这将启用MongoDB的用户身份验证。

   security:
     authorization: enabled
   

   重启MongoDB服务以应用更改：

   sudo systemctl restart mongod
   

2. 创建管理员用户： 使用mongo shell连接到MongoDB实例，并创建一个具有管理员权限的用户。首先，启动mongo shell：

   mongo
   

   然后，在admin数据库中创建一个新用户，并为其分配userAdminAnyDatabase角色，以便该用户可以管理所有数据库的用户和角色：

   use admin
   db.createUser({
     user: "admin",
     pwd: "your_password",
     roles: ["userAdminAnyDatabase"]
   })
   

   现在，您可以使用新创建的管理员用户登录：

   mongo -u admin -p your_password --authenticationDatabase admin
   

3. 限制IP访问： 在/etc/mongod.conf文件中，找到net部分并设置bindIp，以允许来自特定IP地址的连接。例如，要仅允许来自本地主机的连接，请将bindIp设置为127.0.0.1：

   net:
     port: 27017
     bindIp: 127.0.0.1
   

   如果您希望允许来自其他IP地址的连接，请将127.0.0.1添加到bindIp列表中，用逗号分隔。例如，要允许来自本地主机和IP地址192.168.1.100的连接，请将bindIp设置为127.0.0.1,192.168.1.100。

   重启MongoDB服务以应用更改：

   sudo systemctl restart mongod
   

4. 启用TLS/SSL加密： 为了保护数据传输过程中的隐私和完整性，建议启用TLS/SSL加密。首先，您需要获取一个SSL证书和私钥。然后，在/etc/mongod.conf文件中的net部分添加以下设置：

   net:
     ssl:
       mode: requireSSL
       PEMKeyFile: /path/to/your/mongodb.pem
       CAFile: /path/to/your/ca.pem
   

   其中，PEMKeyFile是您的MongoDB服务器的SSL证书和私钥文件，CAFile是用于验证客户端证书的CA证书文件。

   重启MongoDB服务以应用更改：

   sudo systemctl restart mongod
   

   在客户端连接时，也需要使用--ssl选项启用SSL加密。

5. 定期更新和维护MongoDB： 为了确保MongoDB的安全性，建议定期更新和维护MongoDB软件，以便及时修复已知的安全漏洞。

通过以上步骤，您可以提高CentOS系统下MongoDB的安全性。请注意，根据您的具体需求和环境，您可能需要执行其他安全配置。