在CentOS系统上配置MongoDB的安全设置是确保数据库安全运行的重要步骤。以下是一个详细的指南，涵盖了从安装MongoDB到高级安全配置的各个方面：

1. MongoDB安装与系统更新

首先，更新CentOS系统至最新版本，然后安装MongoDB：

sudo yum update -ysudo yum install -y mongodb-org

2. 配置MongoDB仓库

创建并编辑MongoDB仓库配置文件：

sudo vi /etc/yum.repos.d/mongodb-org-4.2.repo

添加以下内容，指定MongoDB 4.2版本仓库地址：

[mongodb-org-4.2]name=MongoDB Repositorybaseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/4.2/x86_64/gpgcheck=1enabled=1gpgkey=https://www.mongodb.org/static/pgp/server-4.2.asc

保存并关闭文件。

3. 启动并启用MongoDB服务

启动MongoDB服务并设置为开机自启动：

sudo systemctl start mongodsudo systemctl enable mongod

4. 启用身份验证机制

编辑MongoDB配置文件 /etc/mongod.conf，在 security 部分启用授权：

security:authorization: enabled

保存更改并重启MongoDB服务：

sudo systemctl restart mongod

5. 创建管理员账户

使用MongoDB shell创建管理员账户：

mongouse admindb.createUser({user: "admin",pwd: "your_strong_password",roles: [ { role: "root", db: "admin" } ]})

6. 防火墙配置

开放MongoDB默认端口27017：

sudo firewall-cmd --zone=public --add-port=27017/tcp --permanentsudo firewall-cmd --reload

7. 限制网络访问

修改MongoDB配置文件 /etc/mongod.conf，将 bindIp 设置为 127.0.0.1，仅允许本地连接：

net:bindIp: 127.0.0.1

重启MongoDB服务使配置生效。

8. 启用SSL/TLS加密

生成或获取SSL证书和私钥文件（例如，使用OpenSSL工具），然后在 /etc/mongod.conf 中配置SSL/TLS：

net:ssl:mode: requireSSLPEMKeyFile: /path/to/your/ssl.pemCAFile: /path/to/your/ca.pem

替换 /path/to/your/ssl.pem 和 /path/to/your/ca.pem 为您的证书和CA文件路径。重启MongoDB服务。

9. 审计日志配置

启用审计日志，记录所有数据库操作：

systemLog:destination: filepath: /var/log/mongodb/mongod.loglogAppend: trueverbose: true

10. 用户权限管理

创建普通用户并分配角色：

mongouse your_databasedb.createUser({user: "your_username",pwd: "your_password",roles: [ { role: "readWrite", db: "your_database" } ]})

赋予普通用户权限：

use your_databasedb.grantRolesToUser("your_username", [ { role: "readWrite", db: "your_database" } ])

11. SELinux策略（可选）

如果您的系统使用SELinux，您可能需要创建特定的策略来允许MongoDB的正常运行。

12. 定期更新和打补丁

定期检查MongoDB的官方发布页面，获取最新的安全更新和补丁，并及时应用。

通过以上步骤，您可以在CentOS上为MongoDB设置基本的安全措施，确保数据库的安全性。