前言

如果你接触过 MongoDB，大概率听过这样一些新闻。

数据库被扫描。

数据被删除。

服务器被勒索。

甚至有人一觉醒来发现，自己辛苦积累的数据已经被替换成了一封勒索信。

而更让人意外的是，很多事故并不是因为黑客技术有多高超。

恰恰相反。

很多情况下，攻击者甚至不需要寻找漏洞。

他们只是在互联网上扫描了一下开放端口，然后发现：

数据库没有认证。

允许公网访问。

权限配置过于宽松。

接下来发生的事情几乎没有悬念。

事实上，MongoDB 曾经长期被认为是互联网暴露最严重的数据库之一。因为很多人在完成安装之后，就默认认为服务已经可以安全使用，却忽略了最关键的一步——安全配置。

这种情况在测试环境尤其常见。

开发人员为了方便联调，直接开放 27017 端口。

为了减少配置步骤，暂时关闭认证。

为了让远程设备连接，把监听地址设置成 0.0.0.0。

最开始只是图方便。

但随着项目上线或者服务器长期运行，这些临时配置往往就被保留下来，最终变成安全隐患。

而 MongoDB 本身其实并不缺少安全能力。

用户认证。

角色权限控制。

网络访问限制。

日志审计。

防火墙隔离。

这些能力都已经提供。

问题往往出在部署过程中没有正确启用。

因此，对于运维人员、开发者以及个人服务器用户来说，安装 MongoDB 只是第一步。真正重要的是在服务上线之前，把认证、权限和网络访问这些基础安全措施配置完整。

本文将从 Linux 环境部署开始，带你一步步完成 MongoDB 的安装、用户配置以及安全加固，同时实现远程访问能力，让数据库既能正常使用，也能尽可能避免成为互联网上的“裸奔服务”。

1.什么是MongoDB？

MongoDB是一个开源、高性能、面向文档的NoSQL数据库。

面向文档（Document-Oriented）

• 数据以BSON（Binary JSON） 格式存储，类似JSON对象。
• 灵活的模式（Schema-less）
• 同一集合（Collection）中的文档可以有不同的字段，无需预先定义表结构。

高性能 & 可扩展

• 支持索引、聚合、内存映射等优化。
• 原生支持水平扩展：通过 分片（Sharding） 分布数据到多个服务器。

高可用

• 通过副本集（Replica Set） 实现自动故障转移和数据冗余。

丰富的查询语言

• 支持复杂查询、正则匹配、地理空间查询、聚合管道（Aggregation Pipeline）等。

与传统关系型数据库（如MySQL）对比：

特性	MongoDB	MySQL
数据模型	文档 (JSON-like)	表 (行/列)
模式	动态 (灵活)	静态 (需预定义)
扩展方式	水平扩展（分片）	垂直扩展为主
事务	支持 (4.0+ 多文档事务)	强支持 (ACID)
适用场景	快速迭代、半结构化数据、高写入负载	强一致性、复杂关联查询

典型应用场景：

• 内容管理系统（CMS）
• 实时分析 / 日志存储
• 物联网（IoT）设备数据
• 移动 App 后端
• 用户配置/画像存储

MongoDB适合需要灵活性、高吞吐、快速开发的场景，尤其在处理非结构化或半结构化数据时优势明显。但它不擅长复杂多表关联查询，这类需求仍推荐使用关系型数据库。

2.MongoDB安装与启动

2.1 环境准备

• 操作系统：Linux CentOS 7
• 安装包：mongodb-linux-x86_64-rhel70-4.0.27.tgz

2.2 去官网首页下载安装包

也可以直接复制下载地址，然后直接在Linux服务器上使用wget下载。

wget https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-rhel70-4.4.30.tgz

windows也可以一键下载：

下载后直接到本地，部署就可以！

2.3 MongoDB安装

将下载好的安装包上传到Linux服务器/app目录下：

并使用以下命令解压压缩包：

tar -zxvf mongodb-linux-x86_64-rhel70-4.4.30.tgz

将解压后的目录移动到 /usr/local 目录下，并改名为 mongodb 。

mv mongodb-linux-x86_64-rhel70-4.4.30 /usr/local/mongodb

进入mongodb目录，并创建文件夹data，在data文件夹下再创建db文件夹（用于存放数据库数据）和log文件夹（存放mongo日志）。然后为其设置可读写权限。

# 进入目录
cd /usr/local/mongodb/
# 创建三个文件夹
mkdir data data/db data/log
# 设置可读写权限
sudo chmod 666 data/db data/log/

在mongodb目录下新建配置文件mongodb.conf，打开文件输入以下内容。

# 数据库数据存放目录
dbpath=/usr/local/mongodb/data/db
# 日志文件存放目录
logpath=/usr/local/mongodb/data/log/mongodb.log
# 日志追加方式
logappend=true
# 端口
port=27017
# 是否认证
auth=true
# 以守护进程方式在后台运行
fork=true
# 远程连接要指定ip，否则无法连接；0.0.0.0代表不限制ip访问
bind_ip=0.0.0.0

配置环境变量，使用 sudo vi /etc/profile 命令打开系统文件，并在末尾加入以下内容后保存，最后使用 source /etc/profile 命令重启系统配置。

export MONGODB_HOME=/usr/local/mongodb
export PATH=$PATH:$MONGODB_HOME/bin

2.4 MongoDB启动

完成以上步骤即可启动Mongo服务。

mongod -f /usr/local/mongodb/mongodb.conf 

使用安装目录下bin目录的mongo客户端命令连接和访问MongoDB，默认会链接到test数据库。

3.基础配置MongoDB

3.1 配置MongoDB服务

配置mangodb开机自启动：

vi /lib/systemd/system/mongodb.service

[Unit]
    Description=mongodb
    After=network.target remote-fs.target nss-lookup.target
[Service]
    Type=forking
    ExecStart=/usr/local/mongodb/bin/mongod -f /usr/local/mongodb/mongodb.conf
    ExecReload=/bin/kill -s HUP $MAINPID
    ExecStop=/usr/local/mongodb/bin/mongod -f /usr/local/mongodb/mongodb.conf --shutdown
    PrivateTmp=true
[Install]
    WantedBy=multi-user.target

使服务生效：

systemctl start mongodb.service
systemctl status mongodb.service
systemctl enable mongodb.service
systemctl daemon-reload

3.2 创建管理员账号

内置角色：

• 数据库用户角色：read、readWrite
• 数据库管理角色：dbAdmin、dbOwner、userAdmin
• 集群管理角色：clusterAdmin、clusterManager、clusterMonitor、hostManager
• 备份恢复角色：backup、restore
• 所有数据库角色：readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
• 超级用户角色：root
• 内部角色：__system

切换到admin数据库，使用以下命令创建管理账号，拥有操作所有数据库权限：

use admin
db.createUser({user:"admin",pwd:"123456",roles:[{role:"userAdminAnyDatabase",db:"admin"}]})

验证:

use admin
db.auth("admin","123456")
show tables

3.3 创建用户和密码

use admin
db.auth("admin","123456")
# 新用户的认证库
use nobody
# 创建chenpi用户，密码123465，对nobody数据库有读写权限
db.createUser({user:'ceshi',pwd:'123456',roles:[{role:'readWrite',db:'nobody'}]})

3.4 连接可视化工具

我使用的可视化的工具是（MongoDB Compass):

点击如图所示：

添加主机的地址+端口：

我们可以看见已经连接成功啦（为了直观看见，我添加了颜色）：

在开发和测试过程中，我们常常将MongoDB部署在本地机器或内网服务器上。这种部署方式安全、便捷，但也带来一个现实问题：

“如何让外部设备（如手机App、远程同事、云服务）访问这台没有公网IP的MongoDB？”

传统方案可能需要配置路由器端口转发、申请云服务器做跳板，甚至暴露数据库到公网——不仅复杂，还存在严重的安全隐患。

这时候，一款轻量级、安全可靠的内网穿透工具就显得尤为重要。cpolar正是为此而生。

4.安装cpolar内网穿透工具

4.1 什么是cpolar？

cpolar是一款安全高效的内网穿透工具，无需公网IP或复杂配置，只需一条命令，即可将本地服务器、Web服务或任意端口映射到公网，让你随时随地远程访问内网应用，特别适合开发调试、远程运维和应急部署等场景。

4.2 安装cpolar

cpolar 可以将你本地电脑中的服务（如 SSH、Web、数据库）映射到公网。即使你在家里或外出时，也可以通过公网地址连接回本地运行的开发环境。

❤️以下是安装cpolar步骤：

使用一键脚本安装命令：

sudo curl https://get.cpolar.sh | sh

安装完成后，执行下方命令查看cpolar服务状态：（如图所示即为正常启动）

sudo systemctl status cpolar

Cpolar安装和成功启动服务后，在浏览器上输入虚拟机主机IP加9200端口即:【ip:9200】访问Cpolar管理界面，使用Cpolar官网注册的账号登录,登录后即可看到cpolar web 配置界面,接下来在web 界面配置即可：

打开浏览器访问本地9200端口，使用cpolar账户密码登录即可,登录后即可对隧道进行管理。

5.配置公网地址

通过配置，你可以在本地 WSL 或 Linux 系统上运行 SSH 服务，并通过 Cpolar 将其映射到公网，从而实现从任意设备远程连接开发环境的目的。

• 隧道名称：可自定义，本例使用了:mongo，注意不要与已有的隧道名称重复
• 协议：tcp
• 本地地址：27017
• 端口类型：随机临时TCP端口
• 地区：China Top

创建成功后，打开左侧在线隧道列表,可以看到刚刚通过创建隧道生成了公网地址，接下来就可以在其他电脑或者移动端设备（异地）上，使用任意一个地址在终端中访问即可。

• tcp 表示使用的协议类型

• 2.tcp.cpolar.top是 Cpolar 提供的域名

• 16766是随机分配的公网端口号

通过Cpolar提供的公网地址和端口，mangodb就可以从任意一台主机连接到啦！

6.保留固定TCP公网地址

使用cpolar为其配置TCP地址，该地址为固定地址，不会随机变化。

选择区域和描述：有一个下拉菜单，当前选择的是“China Top”。
右侧输入框，用于填写描述信息。
保留按钮：在右侧有一个橙色的“保留”按钮，点击该按钮可以保留所选的TCP地址。
列表中显示了一条已保留的TCP地址记录。

• 地区：显示为“China Top”。

• 地址：显示为“6.tcp.cpolar.top:11736”。

登录cpolar web UI管理界面，点击左侧仪表盘的隧道管理——隧道列表，找到所要配置的隧道mysql，点击右侧的编辑。

修改隧道信息，将保留成功的TCP端口配置到隧道中。

• 端口类型：选择固定TCP端口
• 预留的TCP地址：填写保留成功的TCP地址

点击更新。

创建完成后，打开在线隧道列表，此时可以看到随机的公网地址已经发生变化，地址名称也变成了保留和固定的TCP地址。

最后测试一下固定的地址是否好用:

这样，我们成功打破了“没有公网IP就无法远程访问数据库”的固有认知。

总结

很多数据库事故复盘之后，最终都会指向同一个问题：

服务部署成功了，但安全配置没有跟上。

MongoDB 本身并不是不安全，相反，它已经提供了完善的认证机制、角色权限体系以及网络访问控制能力。真正的问题往往在于部署完成后，为了图省事而省略了关键配置步骤。

通过本文的实践过程，我们不仅完成了 MongoDB 的安装和运行，还配置了管理员账号、数据库用户、权限控制以及远程访问能力。对于开发测试环境来说，这已经能够满足绝大多数场景需求。

而结合 cpolar 提供的公网访问能力之后，即使没有公网 IP，也能够实现异地连接和远程调试。但与此同时，更应该关注访问权限和认证机制的配置，确保数据库不会因为开放访问而暴露在风险之中。

数据库最大的价值是保存数据。

而数据库最重要的职责，也是保护数据。

安装只是开始，安全配置才是真正决定数据库能否长期稳定运行的关键一步。