MongoDB安装很简单，但很多人的数据库都栽在了这一步。

前言如果你接触过 MongoDB大概率听过这样一些新闻。数据库被扫描。数据被删除。服务器被勒索。甚至有人一觉醒来发现自己辛苦积累的数据已经被替换成了一封勒索信。而更让人意外的是很多事故并不是因为黑客技术有多高超。恰恰相反。很多情况下攻击者甚至不需要寻找漏洞。他们只是在互联网上扫描了一下开放端口然后发现数据库没有认证。允许公网访问。权限配置过于宽松。接下来发生的事情几乎没有悬念。事实上MongoDB 曾经长期被认为是互联网暴露最严重的数据库之一。因为很多人在完成安装之后就默认认为服务已经可以安全使用却忽略了最关键的一步——安全配置。这种情况在测试环境尤其常见。开发人员为了方便联调直接开放 27017 端口。为了减少配置步骤暂时关闭认证。为了让远程设备连接把监听地址设置成 0.0.0.0。最开始只是图方便。但随着项目上线或者服务器长期运行这些临时配置往往就被保留下来最终变成安全隐患。而 MongoDB 本身其实并不缺少安全能力。用户认证。角色权限控制。网络访问限制。日志审计。防火墙隔离。这些能力都已经提供。问题往往出在部署过程中没有正确启用。因此对于运维人员、开发者以及个人服务器用户来说安装 MongoDB 只是第一步。真正重要的是在服务上线之前把认证、权限和网络访问这些基础安全措施配置完整。本文将从 Linux 环境部署开始带你一步步完成 MongoDB 的安装、用户配置以及安全加固同时实现远程访问能力让数据库既能正常使用也能尽可能避免成为互联网上的“裸奔服务”。1.什么是MongoDBMongoDB是一个开源、高性能、面向文档的NoSQL数据库。面向文档Document-Oriented数据以BSONBinary JSON 格式存储类似JSON对象。灵活的模式Schema-less同一集合Collection中的文档可以有不同的字段无需预先定义表结构。高性能 可扩展支持索引、聚合、内存映射等优化。原生支持水平扩展通过 分片Sharding 分布数据到多个服务器。高可用通过副本集Replica Set 实现自动故障转移和数据冗余。丰富的查询语言支持复杂查询、正则匹配、地理空间查询、聚合管道Aggregation Pipeline等。与传统关系型数据库如MySQL对比特性MongoDBMySQL数据模型文档 (JSON-like)表 (行/列)模式动态 (灵活)静态 (需预定义)扩展方式水平扩展分片垂直扩展为主事务支持 (4.0 多文档事务)强支持 (ACID)适用场景快速迭代、半结构化数据、高写入负载强一致性、复杂关联查询典型应用场景内容管理系统CMS实时分析 / 日志存储物联网IoT设备数据移动 App 后端用户配置/画像存储MongoDB适合需要灵活性、高吞吐、快速开发的场景尤其在处理非结构化或半结构化数据时优势明显。但它不擅长复杂多表关联查询这类需求仍推荐使用关系型数据库。2.MongoDB安装与启动2.1 环境准备操作系统Linux CentOS 7安装包mongodb-linux-x86_64-rhel70-4.0.27.tgz2.2 去官网首页下载安装包也可以直接复制下载地址然后直接在Linux服务器上使用wget下载。wgethttps://fastdl.mongodb.org/linux/mongodb-linux-x86_64-rhel70-4.4.30.tgzwindows也可以一键下载下载后直接到本地部署就可以2.3 MongoDB安装将下载好的安装包上传到Linux服务器/app目录下并使用以下命令解压压缩包tar-zxvfmongodb-linux-x86_64-rhel70-4.4.30.tgz将解压后的目录移动到/usr/local目录下并改名为mongodb。mvmongodb-linux-x86_64-rhel70-4.4.30 /usr/local/mongodb进入mongodb目录并创建文件夹data在data文件夹下再创建db文件夹用于存放数据库数据和log文件夹存放mongo日志。然后为其设置可读写权限。# 进入目录cd/usr/local/mongodb/# 创建三个文件夹mkdirdata data/db data/log# 设置可读写权限sudochmod666data/db data/log/在mongodb目录下新建配置文件mongodb.conf打开文件输入以下内容。# 数据库数据存放目录 dbpath/usr/local/mongodb/data/db # 日志文件存放目录 logpath/usr/local/mongodb/data/log/mongodb.log # 日志追加方式 logappendtrue # 端口 port27017 # 是否认证 authtrue # 以守护进程方式在后台运行 forktrue # 远程连接要指定ip否则无法连接0.0.0.0代表不限制ip访问 bind_ip0.0.0.0配置环境变量使用sudo vi /etc/profile命令打开系统文件并在末尾加入以下内容后保存最后使用source /etc/profile命令重启系统配置。exportMONGODB_HOME/usr/local/mongodbexportPATH$PATH:$MONGODB_HOME/bin2.4 MongoDB启动完成以上步骤即可启动Mongo服务。mongod-f/usr/local/mongodb/mongodb.conf使用安装目录下bin目录的mongo客户端命令连接和访问MongoDB默认会链接到test数据库。3.基础配置MongoDB3.1 配置MongoDB服务配置mangodb开机自启动vi/lib/systemd/system/mongodb.service[Unit]DescriptionmongodbAfternetwork.target remote-fs.target nss-lookup.target[Service]TypeforkingExecStart/usr/local/mongodb/bin/mongod-f/usr/local/mongodb/mongodb.confExecReload/bin/kill-sHUP$MAINPIDExecStop/usr/local/mongodb/bin/mongod-f/usr/local/mongodb/mongodb.conf--shutdownPrivateTmptrue[Install]WantedBymulti-user.target使服务生效systemctl start mongodb.service systemctl status mongodb.service systemctlenablemongodb.service systemctl daemon-reload3.2 创建管理员账号内置角色数据库用户角色read、readWrite数据库管理角色dbAdmin、dbOwner、userAdmin集群管理角色clusterAdmin、clusterManager、clusterMonitor、hostManager备份恢复角色backup、restore所有数据库角色readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase超级用户角色root内部角色__system切换到admin数据库使用以下命令创建管理账号拥有操作所有数据库权限use admin db.createUser({user:admin,pwd:123456,roles:[{role:userAdminAnyDatabase,db:admin}]})验证:use admin db.auth(admin,123456)show tables3.3 创建用户和密码use admin db.auth(admin,123456)# 新用户的认证库use nobody# 创建chenpi用户密码123465对nobody数据库有读写权限db.createUser({user:ceshi,pwd:123456,roles:[{role:readWrite,db:nobody}]})3.4 连接可视化工具我使用的可视化的工具是MongoDB Compass):点击如图所示添加主机的地址端口我们可以看见已经连接成功啦为了直观看见我添加了颜色在开发和测试过程中我们常常将MongoDB部署在本地机器或内网服务器上。这种部署方式安全、便捷但也带来一个现实问题“如何让外部设备如手机App、远程同事、云服务访问这台没有公网IP的MongoDB”传统方案可能需要配置路由器端口转发、申请云服务器做跳板甚至暴露数据库到公网——不仅复杂还存在严重的安全隐患。这时候一款轻量级、安全可靠的内网穿透工具就显得尤为重要。cpolar正是为此而生。4.安装cpolar内网穿透工具4.1 什么是cpolarcpolar是一款安全高效的内网穿透工具无需公网IP或复杂配置只需一条命令即可将本地服务器、Web服务或任意端口映射到公网让你随时随地远程访问内网应用特别适合开发调试、远程运维和应急部署等场景。4.2 安装cpolarcpolar 可以将你本地电脑中的服务如 SSH、Web、数据库映射到公网。即使你在家里或外出时也可以通过公网地址连接回本地运行的开发环境。❤️以下是安装cpolar步骤使用一键脚本安装命令sudocurlhttps://get.cpolar.sh|sh安装完成后执行下方命令查看cpolar服务状态如图所示即为正常启动sudosystemctl status cpolarCpolar安装和成功启动服务后在浏览器上输入虚拟机主机IP加9200端口即:【ip:9200】访问Cpolar管理界面使用Cpolar官网注册的账号登录,登录后即可看到cpolar web 配置界面,接下来在web 界面配置即可打开浏览器访问本地9200端口使用cpolar账户密码登录即可,登录后即可对隧道进行管理。5.配置公网地址通过配置你可以在本地 WSL 或 Linux 系统上运行 SSH 服务并通过 Cpolar 将其映射到公网从而实现从任意设备远程连接开发环境的目的。隧道名称可自定义本例使用了:mongo注意不要与已有的隧道名称重复协议tcp本地地址27017端口类型随机临时TCP端口地区China Top创建成功后打开左侧在线隧道列表,可以看到刚刚通过创建隧道生成了公网地址接下来就可以在其他电脑或者移动端设备异地上使用任意一个地址在终端中访问即可。tcp 表示使用的协议类型2.tcp.cpolar.top是 Cpolar 提供的域名16766是随机分配的公网端口号通过Cpolar提供的公网地址和端口mangodb就可以从任意一台主机连接到啦6.保留固定TCP公网地址使用cpolar为其配置TCP地址该地址为固定地址不会随机变化。选择区域和描述有一个下拉菜单当前选择的是“China Top”。右侧输入框用于填写描述信息。保留按钮在右侧有一个橙色的“保留”按钮点击该按钮可以保留所选的TCP地址。列表中显示了一条已保留的TCP地址记录。地区显示为“China Top”。地址显示为“6.tcp.cpolar.top:11736”。登录cpolar web UI管理界面点击左侧仪表盘的隧道管理——隧道列表找到所要配置的隧道mysql点击右侧的编辑。修改隧道信息将保留成功的TCP端口配置到隧道中。端口类型选择固定TCP端口预留的TCP地址填写保留成功的TCP地址点击更新。创建完成后打开在线隧道列表此时可以看到随机的公网地址已经发生变化地址名称也变成了保留和固定的TCP地址。最后测试一下固定的地址是否好用:这样我们成功打破了“没有公网IP就无法远程访问数据库”的固有认知。总结很多数据库事故复盘之后最终都会指向同一个问题服务部署成功了但安全配置没有跟上。MongoDB 本身并不是不安全相反它已经提供了完善的认证机制、角色权限体系以及网络访问控制能力。真正的问题往往在于部署完成后为了图省事而省略了关键配置步骤。通过本文的实践过程我们不仅完成了 MongoDB 的安装和运行还配置了管理员账号、数据库用户、权限控制以及远程访问能力。对于开发测试环境来说这已经能够满足绝大多数场景需求。而结合 cpolar 提供的公网访问能力之后即使没有公网 IP也能够实现异地连接和远程调试。但与此同时更应该关注访问权限和认证机制的配置确保数据库不会因为开放访问而暴露在风险之中。数据库最大的价值是保存数据。而数据库最重要的职责也是保护数据。安装只是开始安全配置才是真正决定数据库能否长期稳定运行的关键一步。