MongoDB 在 Linux 环境的完整搭建从基础安装、权限控制到 cpolar 固定公网地址配置前言MongoDB是一款面向文档的NoSQL数据库数据以BSON格式存储字段结构可以根据业务变化灵活调整。相比需要预先定义表结构的关系型数据库它更适合日志采集、内容管理、设备数据、用户画像以及快速迭代的应用系统。MongoDB同时支持索引、聚合管道、副本集和分片机制在数据量持续增长、写入频率较高或字段变化较多的项目中能够提供较好的扩展能力。不过MongoDB安装完成并能够正常启动并不代表数据库已经具备安全运行条件。数据库服务默认使用27017端口如果直接监听全部网络接口同时缺少身份认证、访问控制和防火墙限制外部扫描程序就可能发现并尝试连接。数据库一旦允许匿名访问攻击者不仅能够读取业务数据还可能删除集合、创建勒索信息或持续占用服务器资源。对于数据库服务来说安装只是基础工作认证、网络范围和权限管理才决定它能否稳定运行。本文以Linux环境为基础完成MongoDB程序安装、数据与日志目录创建、配置文件编写以及systemd服务管理。数据库启动后将继续创建管理账号和业务账号并通过角色权限区分数据库管理与普通读写操作。相比所有程序共用一个高权限账号为不同业务创建独立用户、限制可访问的数据库和操作范围更符合生产环境中的最小权限原则。网络配置是MongoDB安全加固中需要重点处理的部分。bind_ip决定数据库监听哪些网络接口将其设置为0.0.0.0虽然方便远程连接但也会扩大服务暴露范围。实际部署时应优先绑定本机地址或指定的内网IP再通过防火墙、访问白名单和认证机制限制连接来源。确实需要异地访问时也不建议直接在路由器上开放27017端口而应通过受控隧道或专用网络建立连接。本文后半部分使用cpolar为MongoDB创建TCP隧道使没有公网IP的Linux服务器也可以被异地客户端连接并进一步配置固定TCP地址。该方案解决的是网络可达性问题并不能代替MongoDB自身的身份认证和权限管理。开放远程访问前应确认认证已经启用、用户权限已经划分、管理账号使用强密码同时避免把公网地址和数据库凭据公开保存。接下来将按照MongoDB安装、服务配置、账号权限、Compass连接和cpolar远程访问的顺序完成整个流程帮助读者搭建一套既能正常使用又具备基本安全控制能力的数据库环境。1.什么是MongoDBMongoDB是一个开源、高性能、面向文档的NoSQL数据库。面向文档Document-Oriented数据以BSONBinary JSON 格式存储类似JSON对象。灵活的模式Schema-less同一集合Collection中的文档可以有不同的字段无需预先定义表结构。高性能 可扩展支持索引、聚合、内存映射等优化。原生支持水平扩展通过 分片Sharding 分布数据到多个服务器。高可用通过副本集Replica Set 实现自动故障转移和数据冗余。丰富的查询语言支持复杂查询、正则匹配、地理空间查询、聚合管道Aggregation Pipeline等。与传统关系型数据库如MySQL对比特性MongoDBMySQL数据模型文档 (JSON-like)表 (行/列)模式动态 (灵活)静态 (需预定义)扩展方式水平扩展分片垂直扩展为主事务支持 (4.0 多文档事务)强支持 (ACID)适用场景快速迭代、半结构化数据、高写入负载强一致性、复杂关联查询典型应用场景内容管理系统CMS实时分析 / 日志存储物联网IoT设备数据移动 App 后端用户配置/画像存储MongoDB适合需要灵活性、高吞吐、快速开发的场景尤其在处理非结构化或半结构化数据时优势明显。但它不擅长复杂多表关联查询这类需求仍推荐使用关系型数据库。2.MongoDB安装与启动2.1 环境准备操作系统Linux CentOS 7安装包mongodb-linux-x86_64-rhel70-4.0.27.tgz2.2 去官网首页下载安装包也可以直接复制下载地址然后直接在Linux服务器上使用wget下载。wgethttps://fastdl.mongodb.org/linux/mongodb-linux-x86_64-rhel70-4.4.30.tgzwindows也可以一键下载下载后直接到本地部署就可以2.3 MongoDB安装将下载好的安装包上传到Linux服务器/app目录下并使用以下命令解压压缩包tar-zxvfmongodb-linux-x86_64-rhel70-4.4.30.tgz将解压后的目录移动到/usr/local目录下并改名为mongodb。mvmongodb-linux-x86_64-rhel70-4.4.30 /usr/local/mongodb进入mongodb目录并创建文件夹data在data文件夹下再创建db文件夹用于存放数据库数据和log文件夹存放mongo日志。然后为其设置可读写权限。# 进入目录cd/usr/local/mongodb/# 创建三个文件夹mkdirdata data/db data/log# 设置可读写权限sudochmod666data/db data/log/在mongodb目录下新建配置文件mongodb.conf打开文件输入以下内容。# 数据库数据存放目录 dbpath/usr/local/mongodb/data/db # 日志文件存放目录 logpath/usr/local/mongodb/data/log/mongodb.log # 日志追加方式 logappendtrue # 端口 port27017 # 是否认证 authtrue # 以守护进程方式在后台运行 forktrue # 远程连接要指定ip否则无法连接0.0.0.0代表不限制ip访问 bind_ip0.0.0.0配置环境变量使用sudo vi /etc/profile命令打开系统文件并在末尾加入以下内容后保存最后使用source /etc/profile命令重启系统配置。exportMONGODB_HOME/usr/local/mongodbexportPATH$PATH:$MONGODB_HOME/bin2.4 MongoDB启动完成以上步骤即可启动Mongo服务。mongod-f/usr/local/mongodb/mongodb.conf使用安装目录下bin目录的mongo客户端命令连接和访问MongoDB默认会链接到test数据库。3.基础配置MongoDB3.1 配置MongoDB服务配置mangodb开机自启动vi/lib/systemd/system/mongodb.service[Unit]DescriptionmongodbAfternetwork.target remote-fs.target nss-lookup.target[Service]TypeforkingExecStart/usr/local/mongodb/bin/mongod-f/usr/local/mongodb/mongodb.confExecReload/bin/kill-sHUP$MAINPIDExecStop/usr/local/mongodb/bin/mongod-f/usr/local/mongodb/mongodb.conf--shutdownPrivateTmptrue[Install]WantedBymulti-user.target使服务生效systemctl start mongodb.service systemctl status mongodb.service systemctlenablemongodb.service systemctl daemon-reload3.2 创建管理员账号内置角色数据库用户角色read、readWrite数据库管理角色dbAdmin、dbOwner、userAdmin集群管理角色clusterAdmin、clusterManager、clusterMonitor、hostManager备份恢复角色backup、restore所有数据库角色readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase超级用户角色root内部角色__system切换到admin数据库使用以下命令创建管理账号拥有操作所有数据库权限use admin db.createUser({user:admin,pwd:123456,roles:[{role:userAdminAnyDatabase,db:admin}]})验证:use admin db.auth(admin,123456)show tables3.3 创建用户和密码use admin db.auth(admin,123456)# 新用户的认证库use nobody# 创建chenpi用户密码123465对nobody数据库有读写权限db.createUser({user:ceshi,pwd:123456,roles:[{role:readWrite,db:nobody}]})3.4 连接可视化工具我使用的可视化的工具是MongoDB Compass):点击如图所示添加主机的地址端口我们可以看见已经连接成功啦为了直观看见我添加了颜色在开发和测试过程中我们常常将MongoDB部署在本地机器或内网服务器上。这种部署方式安全、便捷但也带来一个现实问题“如何让外部设备如手机App、远程同事、云服务访问这台没有公网IP的MongoDB”传统方案可能需要配置路由器端口转发、申请云服务器做跳板甚至暴露数据库到公网——不仅复杂还存在严重的安全隐患。这时候一款轻量级、安全可靠的内网穿透工具就显得尤为重要。cpolar正是为此而生。4.安装cpolar内网穿透工具4.1 什么是cpolarcpolar是一款安全高效的内网穿透工具无需公网IP或复杂配置只需一条命令即可将本地服务器、Web服务或任意端口映射到公网让你随时随地远程访问内网应用特别适合开发调试、远程运维和应急部署等场景。4.2 安装cpolarcpolar 可以将你本地电脑中的服务如 SSH、Web、数据库映射到公网。即使你在家里或外出时也可以通过公网地址连接回本地运行的开发环境。❤️以下是安装cpolar步骤使用一键脚本安装命令sudocurlhttps://get.cpolar.sh|sh安装完成后执行下方命令查看cpolar服务状态如图所示即为正常启动sudosystemctl status cpolarCpolar安装和成功启动服务后在浏览器上输入虚拟机主机IP加9200端口即:【ip:9200】访问Cpolar管理界面使用Cpolar官网注册的账号登录,登录后即可看到cpolar web 配置界面,接下来在web 界面配置即可打开浏览器访问本地9200端口使用cpolar账户密码登录即可,登录后即可对隧道进行管理。5.配置公网地址通过配置你可以在本地 WSL 或 Linux 系统上运行 SSH 服务并通过 Cpolar 将其映射到公网从而实现从任意设备远程连接开发环境的目的。隧道名称可自定义本例使用了:mongo注意不要与已有的隧道名称重复协议tcp本地地址27017端口类型随机临时TCP端口地区China Top创建成功后打开左侧在线隧道列表,可以看到刚刚通过创建隧道生成了公网地址接下来就可以在其他电脑或者移动端设备异地上使用任意一个地址在终端中访问即可。tcp 表示使用的协议类型2.tcp.cpolar.top是 Cpolar 提供的域名16766是随机分配的公网端口号通过Cpolar提供的公网地址和端口mangodb就可以从任意一台主机连接到啦6.保留固定TCP公网地址使用cpolar为其配置TCP地址该地址为固定地址不会随机变化。选择区域和描述有一个下拉菜单当前选择的是“China Top”。右侧输入框用于填写描述信息。保留按钮在右侧有一个橙色的“保留”按钮点击该按钮可以保留所选的TCP地址。列表中显示了一条已保留的TCP地址记录。地区显示为“China Top”。地址显示为“6.tcp.cpolar.top:11736”。登录cpolar web UI管理界面点击左侧仪表盘的隧道管理——隧道列表找到所要配置的隧道mysql点击右侧的编辑。修改隧道信息将保留成功的TCP端口配置到隧道中。端口类型选择固定TCP端口预留的TCP地址填写保留成功的TCP地址点击更新。创建完成后打开在线隧道列表此时可以看到随机的公网地址已经发生变化地址名称也变成了保留和固定的TCP地址。最后测试一下固定的地址是否好用:这样我们成功打破了“没有公网IP就无法远程访问数据库”的固有认知。总结本文完成了MongoDB在Linux环境中的安装、目录配置、服务启动、账号创建和权限划分并通过MongoDB Compass验证了数据库连接。结合cpolar配置TCP隧道后原本只能在内网访问的MongoDB也能够为异地开发、远程调试和临时协作提供连接入口。远程访问并不等于直接开放数据库端口。MongoDB启用认证、限制监听地址、划分用户权限和配置防火墙仍然是数据库安全的基础。cpolar负责解决网络连接问题MongoDB自身则负责身份校验和数据权限控制两部分需要同时配置不能相互替代。实际部署时建议为管理账号和业务账号分别设置强密码避免应用程序长期使用高权限用户并根据访问来源限制网络范围。随机TCP地址适合临时测试固定TCP地址更适合长期连接但地址越稳定越需要重视凭据保护、日志检查和异常访问监控。只有在安装、权限和网络三个环节都得到控制后MongoDB才适合作为长期运行的数据库服务。
MongoDB 在 Linux 环境的完整搭建从基础安装、权限控制到 cpolar 固定公网地址配置前言MongoDB是一款面向文档的NoSQL数据库数据以BSON格式存储字段结构可以根据业务变化灵活调整。相比需要预先定义表结构的关系型数据库它更适合日志采集、内容管理、设备数据、用户画像以及快速迭代的应用系统。MongoDB同时支持索引、聚合管道、副本集和分片机制在数据量持续增长、写入频率较高或字段变化较多的项目中能够提供较好的扩展能力。不过MongoDB安装完成并能够正常启动并不代表数据库已经具备安全运行条件。数据库服务默认使用27017端口如果直接监听全部网络接口同时缺少身份认证、访问控制和防火墙限制外部扫描程序就可能发现并尝试连接。数据库一旦允许匿名访问攻击者不仅能够读取业务数据还可能删除集合、创建勒索信息或持续占用服务器资源。对于数据库服务来说安装只是基础工作认证、网络范围和权限管理才决定它能否稳定运行。本文以Linux环境为基础完成MongoDB程序安装、数据与日志目录创建、配置文件编写以及systemd服务管理。数据库启动后将继续创建管理账号和业务账号并通过角色权限区分数据库管理与普通读写操作。相比所有程序共用一个高权限账号为不同业务创建独立用户、限制可访问的数据库和操作范围更符合生产环境中的最小权限原则。网络配置是MongoDB安全加固中需要重点处理的部分。bind_ip决定数据库监听哪些网络接口将其设置为0.0.0.0虽然方便远程连接但也会扩大服务暴露范围。实际部署时应优先绑定本机地址或指定的内网IP再通过防火墙、访问白名单和认证机制限制连接来源。确实需要异地访问时也不建议直接在路由器上开放27017端口而应通过受控隧道或专用网络建立连接。本文后半部分使用cpolar为MongoDB创建TCP隧道使没有公网IP的Linux服务器也可以被异地客户端连接并进一步配置固定TCP地址。该方案解决的是网络可达性问题并不能代替MongoDB自身的身份认证和权限管理。开放远程访问前应确认认证已经启用、用户权限已经划分、管理账号使用强密码同时避免把公网地址和数据库凭据公开保存。接下来将按照MongoDB安装、服务配置、账号权限、Compass连接和cpolar远程访问的顺序完成整个流程帮助读者搭建一套既能正常使用又具备基本安全控制能力的数据库环境。1.什么是MongoDBMongoDB是一个开源、高性能、面向文档的NoSQL数据库。面向文档Document-Oriented数据以BSONBinary JSON 格式存储类似JSON对象。灵活的模式Schema-less同一集合Collection中的文档可以有不同的字段无需预先定义表结构。高性能 可扩展支持索引、聚合、内存映射等优化。原生支持水平扩展通过 分片Sharding 分布数据到多个服务器。高可用通过副本集Replica Set 实现自动故障转移和数据冗余。丰富的查询语言支持复杂查询、正则匹配、地理空间查询、聚合管道Aggregation Pipeline等。与传统关系型数据库如MySQL对比特性MongoDBMySQL数据模型文档 (JSON-like)表 (行/列)模式动态 (灵活)静态 (需预定义)扩展方式水平扩展分片垂直扩展为主事务支持 (4.0 多文档事务)强支持 (ACID)适用场景快速迭代、半结构化数据、高写入负载强一致性、复杂关联查询典型应用场景内容管理系统CMS实时分析 / 日志存储物联网IoT设备数据移动 App 后端用户配置/画像存储MongoDB适合需要灵活性、高吞吐、快速开发的场景尤其在处理非结构化或半结构化数据时优势明显。但它不擅长复杂多表关联查询这类需求仍推荐使用关系型数据库。2.MongoDB安装与启动2.1 环境准备操作系统Linux CentOS 7安装包mongodb-linux-x86_64-rhel70-4.0.27.tgz2.2 去官网首页下载安装包也可以直接复制下载地址然后直接在Linux服务器上使用wget下载。wgethttps://fastdl.mongodb.org/linux/mongodb-linux-x86_64-rhel70-4.4.30.tgzwindows也可以一键下载下载后直接到本地部署就可以2.3 MongoDB安装将下载好的安装包上传到Linux服务器/app目录下并使用以下命令解压压缩包tar-zxvfmongodb-linux-x86_64-rhel70-4.4.30.tgz将解压后的目录移动到/usr/local目录下并改名为mongodb。mvmongodb-linux-x86_64-rhel70-4.4.30 /usr/local/mongodb进入mongodb目录并创建文件夹data在data文件夹下再创建db文件夹用于存放数据库数据和log文件夹存放mongo日志。然后为其设置可读写权限。# 进入目录cd/usr/local/mongodb/# 创建三个文件夹mkdirdata data/db data/log# 设置可读写权限sudochmod666data/db data/log/在mongodb目录下新建配置文件mongodb.conf打开文件输入以下内容。# 数据库数据存放目录 dbpath/usr/local/mongodb/data/db # 日志文件存放目录 logpath/usr/local/mongodb/data/log/mongodb.log # 日志追加方式 logappendtrue # 端口 port27017 # 是否认证 authtrue # 以守护进程方式在后台运行 forktrue # 远程连接要指定ip否则无法连接0.0.0.0代表不限制ip访问 bind_ip0.0.0.0配置环境变量使用sudo vi /etc/profile命令打开系统文件并在末尾加入以下内容后保存最后使用source /etc/profile命令重启系统配置。exportMONGODB_HOME/usr/local/mongodbexportPATH$PATH:$MONGODB_HOME/bin2.4 MongoDB启动完成以上步骤即可启动Mongo服务。mongod-f/usr/local/mongodb/mongodb.conf使用安装目录下bin目录的mongo客户端命令连接和访问MongoDB默认会链接到test数据库。3.基础配置MongoDB3.1 配置MongoDB服务配置mangodb开机自启动vi/lib/systemd/system/mongodb.service[Unit]DescriptionmongodbAfternetwork.target remote-fs.target nss-lookup.target[Service]TypeforkingExecStart/usr/local/mongodb/bin/mongod-f/usr/local/mongodb/mongodb.confExecReload/bin/kill-sHUP$MAINPIDExecStop/usr/local/mongodb/bin/mongod-f/usr/local/mongodb/mongodb.conf--shutdownPrivateTmptrue[Install]WantedBymulti-user.target使服务生效systemctl start mongodb.service systemctl status mongodb.service systemctlenablemongodb.service systemctl daemon-reload3.2 创建管理员账号内置角色数据库用户角色read、readWrite数据库管理角色dbAdmin、dbOwner、userAdmin集群管理角色clusterAdmin、clusterManager、clusterMonitor、hostManager备份恢复角色backup、restore所有数据库角色readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase超级用户角色root内部角色__system切换到admin数据库使用以下命令创建管理账号拥有操作所有数据库权限use admin db.createUser({user:admin,pwd:123456,roles:[{role:userAdminAnyDatabase,db:admin}]})验证:use admin db.auth(admin,123456)show tables3.3 创建用户和密码use admin db.auth(admin,123456)# 新用户的认证库use nobody# 创建chenpi用户密码123465对nobody数据库有读写权限db.createUser({user:ceshi,pwd:123456,roles:[{role:readWrite,db:nobody}]})3.4 连接可视化工具我使用的可视化的工具是MongoDB Compass):点击如图所示添加主机的地址端口我们可以看见已经连接成功啦为了直观看见我添加了颜色在开发和测试过程中我们常常将MongoDB部署在本地机器或内网服务器上。这种部署方式安全、便捷但也带来一个现实问题“如何让外部设备如手机App、远程同事、云服务访问这台没有公网IP的MongoDB”传统方案可能需要配置路由器端口转发、申请云服务器做跳板甚至暴露数据库到公网——不仅复杂还存在严重的安全隐患。这时候一款轻量级、安全可靠的内网穿透工具就显得尤为重要。cpolar正是为此而生。4.安装cpolar内网穿透工具4.1 什么是cpolarcpolar是一款安全高效的内网穿透工具无需公网IP或复杂配置只需一条命令即可将本地服务器、Web服务或任意端口映射到公网让你随时随地远程访问内网应用特别适合开发调试、远程运维和应急部署等场景。4.2 安装cpolarcpolar 可以将你本地电脑中的服务如 SSH、Web、数据库映射到公网。即使你在家里或外出时也可以通过公网地址连接回本地运行的开发环境。❤️以下是安装cpolar步骤使用一键脚本安装命令sudocurlhttps://get.cpolar.sh|sh安装完成后执行下方命令查看cpolar服务状态如图所示即为正常启动sudosystemctl status cpolarCpolar安装和成功启动服务后在浏览器上输入虚拟机主机IP加9200端口即:【ip:9200】访问Cpolar管理界面使用Cpolar官网注册的账号登录,登录后即可看到cpolar web 配置界面,接下来在web 界面配置即可打开浏览器访问本地9200端口使用cpolar账户密码登录即可,登录后即可对隧道进行管理。5.配置公网地址通过配置你可以在本地 WSL 或 Linux 系统上运行 SSH 服务并通过 Cpolar 将其映射到公网从而实现从任意设备远程连接开发环境的目的。隧道名称可自定义本例使用了:mongo注意不要与已有的隧道名称重复协议tcp本地地址27017端口类型随机临时TCP端口地区China Top创建成功后打开左侧在线隧道列表,可以看到刚刚通过创建隧道生成了公网地址接下来就可以在其他电脑或者移动端设备异地上使用任意一个地址在终端中访问即可。tcp 表示使用的协议类型2.tcp.cpolar.top是 Cpolar 提供的域名16766是随机分配的公网端口号通过Cpolar提供的公网地址和端口mangodb就可以从任意一台主机连接到啦6.保留固定TCP公网地址使用cpolar为其配置TCP地址该地址为固定地址不会随机变化。选择区域和描述有一个下拉菜单当前选择的是“China Top”。右侧输入框用于填写描述信息。保留按钮在右侧有一个橙色的“保留”按钮点击该按钮可以保留所选的TCP地址。列表中显示了一条已保留的TCP地址记录。地区显示为“China Top”。地址显示为“6.tcp.cpolar.top:11736”。登录cpolar web UI管理界面点击左侧仪表盘的隧道管理——隧道列表找到所要配置的隧道mysql点击右侧的编辑。修改隧道信息将保留成功的TCP端口配置到隧道中。端口类型选择固定TCP端口预留的TCP地址填写保留成功的TCP地址点击更新。创建完成后打开在线隧道列表此时可以看到随机的公网地址已经发生变化地址名称也变成了保留和固定的TCP地址。最后测试一下固定的地址是否好用:这样我们成功打破了“没有公网IP就无法远程访问数据库”的固有认知。总结本文完成了MongoDB在Linux环境中的安装、目录配置、服务启动、账号创建和权限划分并通过MongoDB Compass验证了数据库连接。结合cpolar配置TCP隧道后原本只能在内网访问的MongoDB也能够为异地开发、远程调试和临时协作提供连接入口。远程访问并不等于直接开放数据库端口。MongoDB启用认证、限制监听地址、划分用户权限和配置防火墙仍然是数据库安全的基础。cpolar负责解决网络连接问题MongoDB自身则负责身份校验和数据权限控制两部分需要同时配置不能相互替代。实际部署时建议为管理账号和业务账号分别设置强密码避免应用程序长期使用高权限用户并根据访问来源限制网络范围。随机TCP地址适合临时测试固定TCP地址更适合长期连接但地址越稳定越需要重视凭据保护、日志检查和异常访问监控。只有在安装、权限和网络三个环节都得到控制后MongoDB才适合作为长期运行的数据库服务。
相关新闻
如何5分钟彻底清理Windows“此电脑“中的顽固图标:MyComputerManager终极指南
2026/6/25 12:44:44
GPT-5不存在:聚焦GPT-4o实战能力与AI工作流落地方法论
2026/6/25 12:44:44
集群部署 容器运行时为containerd
2026/6/25 12:44:44最新新闻
如何快速上手英雄联盟自动化助手:5分钟掌握智能工具箱完整指南
2026/6/25 18:59:55
17-前端安全基础
2026/6/25 18:59:55
终极解决电脑风扇噪音难题:FanControl免费调校完整指南
2026/6/25 18:59:55
计算机毕业设计之基于ssm的宠物医院管理系统
2026/6/25 18:59:55
临床AI代理为何跳过工具?医疗决策中的硬性闸门设计
2026/6/25 18:59:55
企业网络容器云:K8s 网络架构、CNI 选型与生产落地全解
2026/6/25 18:57:52日新闻
面试辅助工具横评:我试了5款AI面试工具,最后留下了OfferGo
2026/6/25 11:52:15
Claude Code 提示词设计:从塑造“人格”到建立“状态机”
2026/6/25 11:52:15
MC-037 | 自定义 Skill 开发:创建你的AI能力模块
2026/6/25 11:52:15周新闻
深入解析P89LPC932A1 CCU模块:输入捕获与PWM实战指南
2026/6/24 21:14:48
进化博弈论解析AI代理欺骗行为与风险管控
2026/6/24 8:25:30