一、 传输加密

为了确保数据在传输过程中的平安，可以使用TLS/SSL进行加密通信。

1. 生成证书

使用openssl生成自签名证书或从CA获取有效证书。

openssl req -newkey rsa:2048 -x509 -days 365 -nodes -out mongodb.crt -keyout mongodb.key

2. 配置服务端

修改mongod.conf文件，启用SSL并指定证书路径。

net:    
    ssl:      
        mode: requireSSL      
        PEMKeyFile: /path/to/mongodb.key      
        非足联ile: /path/to/mongodb.crt  # 可选， 用于验证客户端证书

3. 重启服务

sudo systemctl restart mongod

二、静态数据加密

静态数据加密可以保护存储在MongoDB中的数据，防止数据泄露。

1. 生成加密密钥

sudo dd if=/dev/urandom of=/etc/mongodb-keyfile bs=512 count=1
sudo chmod 400 /etc/mongodb-keyfile
sudo chown mongodb:mongodb /etc/mongodb-keyfile

在mongod.conf中启用加密。

security:    
    enableEncryption: true    
    encryptionCipherMode: AES256-CBC    
    encryptionKeyFile: /etc/mongodb-keyfile

sudo systemctl restart mongod

三、 字段级加密

字段级加密可以在应用层对敏感字段进行加密，提高数据平安性。

1. 客户端加密

在应用层使用SDK对敏感字段加密后写入数据库，需配合服务端密钥管理。

2. 服务端配置

启用密钥管理，并在mongod.conf中配置加密参数。

四、验证加密

1. 检查服务端状态

mongo --eval "" | grep -i encryption

输出中应包含加密模式和密钥文件信息。

注意事项

• 生产环境建议使用CA签名的证书，避免自签名证书的平安风险。
• 定期轮换加密密钥和证书，确保密钥平安。
• 静态加密仅保护存储数据，传输仍需配合TLS/SSL。

本文介绍了在Ubuntu上为MongoDB数据加密的方法， 包括传输加密、静态数据加密和字段级加密等。通过这些方法，您可以提高数据平安性，防止数据泄露。

---