MongoDB安全及身份認(rèn)證(實(shí)例講解)
前面的話
本文將詳細(xì)介紹MongoDB安全相關(guān)的內(nèi)容
概述
MongoDB安全主要包括以下4個方面
1、物理隔離
系統(tǒng)不論設(shè)計的多么完善,在實(shí)施過程中,總會存在一些漏洞。如果能夠把不安全的使用方與MongoDB數(shù)據(jù)庫做物理上的隔離,即通過任何手段都不能連接到數(shù)據(jù)庫,這是最安全的防護(hù)。但,通常這是不現(xiàn)實(shí)的。一些重要的數(shù)據(jù)可能會保存下來,放置到物理隔離的機(jī)房中
2、網(wǎng)絡(luò)隔離
許多公司的開發(fā)機(jī)處于內(nèi)網(wǎng)環(huán)境中。即使數(shù)據(jù)庫存在漏洞,外部環(huán)境也沒有機(jī)會利用,因?yàn)楦緹o法訪問內(nèi)網(wǎng)
3、防火墻隔離
可以利用防火墻配置IP白名單,只允許某些IP訪問數(shù)據(jù)庫,也可以從一定程度上增加MongoDB的安全性
4、用戶名密碼鑒權(quán)
相對于以上3種方式,用戶名密碼鑒權(quán)機(jī)制是最常見的MongoDB安全措施。如果密碼設(shè)置的比較簡單,或者連接環(huán)境不是加密環(huán)境,很可能被第三方獲取到用戶名和密碼,從而造成MongoDB數(shù)據(jù)庫的危險
權(quán)限認(rèn)證
mongodb存儲所有的用戶信息在admin數(shù)據(jù)庫的集合system.users中,保存用戶名、密碼和數(shù)據(jù)庫信息。mongodb默認(rèn)不啟用權(quán)限認(rèn)證,只要能連接到該服務(wù)器,就可連接到mongod。若要啟用安全認(rèn)證,需要更改配置文件參數(shù)authorization,也可以簡寫為auth。

然后,重啟mongod。查看日志文件,發(fā)現(xiàn)權(quán)限認(rèn)證已經(jīng)開啟

但是,不使用用戶名和密碼依然可以連接到數(shù)據(jù)庫。這是因?yàn)?,我們還沒有創(chuàng)建用戶。在用戶創(chuàng)建,并且開啟權(quán)限認(rèn)證之后,如果不使用用戶名和密碼將不能夠連接到數(shù)據(jù)庫
角色管理
在進(jìn)行用戶管理之前,首先要先了解角色管理
MongoDB支持基于角色的訪問控制(RBAC)來管理對MongoDB系統(tǒng)的訪問。一個用戶可以被授權(quán)一個或者多個:ref:角色 <roles> 以決定該用戶對數(shù)據(jù)庫資源和操作的訪問權(quán)限。在權(quán)限以外,用戶是無法訪問系統(tǒng)的
數(shù)據(jù)庫角色在創(chuàng)建用戶中的role參數(shù)中設(shè)置。角色分為內(nèi)建角色和自定義角色
【內(nèi)建角色】
MongoDB內(nèi)建角色包括以下幾類
1、數(shù)據(jù)庫用戶角色
read:允許用戶讀取指定數(shù)據(jù)庫 readWrite:允許用戶讀寫指定數(shù)據(jù)庫
2、數(shù)據(jù)庫管理員角色
dbAdmin:允許用戶進(jìn)行索引創(chuàng)建、刪除,查看統(tǒng)計或訪問system.profile,但沒有角色和用戶管理的權(quán)限 userAdmin:提供了在當(dāng)前數(shù)據(jù)庫中創(chuàng)建和修改角色和用戶的能力 dbOwner: 提供對數(shù)據(jù)庫執(zhí)行任何管理操作的能力。這個角色組合了readWrite、dbAdmin和userAdmin角色授予的特權(quán)。
3、集群管理角色
clusterAdmin : 提供最強(qiáng)大的集群管理訪問。組合clusterManager、clusterMonitor和hostManager角色的能力。還提供了dropDatabase操作 clusterManager : 在集群上提供管理和監(jiān)視操作。可以訪問配置和本地數(shù)據(jù)庫,這些數(shù)據(jù)庫分別用于分片和復(fù)制 clusterMonitor : 提供對監(jiān)控工具的只讀訪問,例如MongoDB云管理器和Ops管理器監(jiān)控代理。 hostManager : 提供監(jiān)視和管理服務(wù)器的能力。
4、備份恢復(fù)角色
backup : 提供備份數(shù)據(jù)所需的能力,使用MongoDB云管理器備份代理、Ops管理器備份代理或使用mongodump restore : 提供使用mongorestore恢復(fù)數(shù)據(jù)所需的能力
5、所有數(shù)據(jù)庫角色
readAnyDatabase:只在admin數(shù)據(jù)庫中可用,賦予用戶所有數(shù)據(jù)庫的讀權(quán)限 readWriteAnyDatabase:只在admin數(shù)據(jù)庫中可用,賦予用戶所有數(shù)據(jù)庫的讀寫權(quán)限 userAdminAnyDatabase:只在admin數(shù)據(jù)庫中可用,賦予用戶所有數(shù)據(jù)庫的userAdmin權(quán)限 dbAdminAnyDatabase:只在admin數(shù)據(jù)庫中可用,賦予用戶所有數(shù)據(jù)庫的dbAdmin權(quán)限。
6、超級用戶角色
root:提供對readWriteAnyDatabase、dbAdminAnyDatabase、userAdminAnyDatabase、clusterAdmin、restore和backup的所有資源的訪問
7、內(nèi)部角色
__system : 提供對數(shù)據(jù)庫中任何對象的任何操作的特權(quán)
【自定義角色】
除了使用內(nèi)建的角色之外,MongoDB還支持使用db.createRole()方法來自定義角色
[注意]只能在admin數(shù)據(jù)庫中創(chuàng)建角色,否則會失敗
role: 自定義角色的名稱
privileges: 權(quán)限操作
roles:繼承的角色。如果沒有繼承的角色,可以設(shè)置為空數(shù)組
use admin db.createRole( { role: "myClusterwideAdmin", privileges: [ { resource: { cluster: true }, actions: [ "addShard" ] }, { resource: { db: "config", collection: "" }, actions: [ "find", "update", "insert", "remove" ] }, { resource: { db: "users", collection: "usersCollection" }, actions: [ "update", "insert", "remove" ] }, { resource: { db: "", collection: "" }, actions: [ "find" ] } ], roles: [ { role: "read", db: "admin" } ] }, { w: "majority" , wtimeout: 5000 } )

用戶管理
【創(chuàng)建用戶】
使用createUser命令來創(chuàng)建用戶
user: 用戶名 pwd: 密碼
customData: 對用戶名密碼的說明(可選項(xiàng))
roles: {role:繼承自什么角色類型,db:數(shù)據(jù)庫名稱}
db.createUser({user: "...",pwd: "...",customDate:"...",roles:[{role: "...",db: "..."}]})
1、創(chuàng)建管理員用戶
MongoDB沒有默認(rèn)管理員賬號,所以要先添加管理員賬號。切換到admin數(shù)據(jù)庫,添加的賬號才是管理員賬號
在admin數(shù)據(jù)庫中,添加一個用戶并賦予userAdminAnyDatabase角色
db.createUser({user: "admin",pwd: "123456",roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]})

2、重新登錄數(shù)據(jù)庫,并驗(yàn)證權(quán)限
如果auth()方法返回0則代表授權(quán)失敗,返回1代表授權(quán)成功
db.auth()

3、添加普通用戶
一旦經(jīng)過認(rèn)證的用戶管理員,可以使用db.createUser()
去創(chuàng)建額外的用戶。 可以分配mongodb內(nèi)置的角色或用戶自定義的角色給用戶

[注意]需要在admin數(shù)據(jù)庫下進(jìn)行認(rèn)證,否則認(rèn)證不成功

由于該用戶只有讀權(quán)限,所以會寫入數(shù)據(jù)失敗

4、創(chuàng)建超級用戶

【查看用戶】
db.system.users.find()
【刪除用戶】
db.dropUser()

【添加用戶權(quán)限】
db.grantRolesToUser()
給在db1數(shù)據(jù)庫中只讀的x用戶,添加寫權(quán)限

【修改密碼】
db.changeUserPassword()
以上這篇MongoDB安全及身份認(rèn)證(實(shí)例講解)就是小編分享給大家的全部內(nèi)容了,希望能給大家一個參考,也希望大家多多支持腳本之家。
- 基于Docker的MongoDB實(shí)現(xiàn)授權(quán)訪問的方法
- 淺析MongoDB之安全認(rèn)證
- python連接mongodb密碼認(rèn)證實(shí)例
- MongoDB開啟權(quán)限認(rèn)證的方法步驟詳解
- Java開發(fā)之spring security實(shí)現(xiàn)基于MongoDB的認(rèn)證功能
- 關(guān)于Mongodb 認(rèn)證鑒權(quán)你需要知道的一些事
- Mongodb 3.2.9開啟用戶權(quán)限認(rèn)證問題的步驟詳解
- mongodb 3.4下遠(yuǎn)程連接認(rèn)證失敗的解決方法
- MongoDB數(shù)據(jù)庫授權(quán)認(rèn)證的實(shí)現(xiàn)
相關(guān)文章
開發(fā)分布式醫(yī)療掛號系統(tǒng)MongoDB集成實(shí)現(xiàn)上傳醫(yī)院接口
這篇文章主要介紹了開發(fā)分布式醫(yī)療掛號系統(tǒng)MongoDB集成實(shí)現(xiàn)上傳醫(yī)院接口,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪2022-04-04MongoDB數(shù)據(jù)去重與保存最新數(shù)據(jù)操作指南
在 MongoDB 數(shù)據(jù)庫中,我們經(jīng)常需要進(jìn)行數(shù)據(jù)去重并保留最新的數(shù)據(jù),本文將介紹如何使用 MongoDB 聚合操作完成這一任務(wù),并將結(jié)果保存到新的集合或者覆蓋原有的集合,感興趣的小伙伴跟著小編一起來看看吧2024-01-01mongodb中根據(jù)時間過濾進(jìn)行查詢的操作方法
這篇文章主要介紹了mongodb中簡單的根據(jù)時間過濾進(jìn)行查詢,文末補(bǔ)充介紹了如何根據(jù)日期過濾/查找MongoDB中的記錄,結(jié)合實(shí)例給大家介紹的非常詳細(xì),需要的朋友可以參考下2023-05-05MongoDB數(shù)據(jù)庫兩階段提交實(shí)現(xiàn)事務(wù)的方法詳解
這篇文章主要介紹了MongoDB數(shù)據(jù)庫兩階段提交實(shí)現(xiàn)事務(wù)的方法,結(jié)合實(shí)例形式詳細(xì)分析了MongoDB數(shù)據(jù)庫事務(wù)提交、回滾、撤銷等操作的原理、實(shí)現(xiàn)方法及相關(guān)操作注意事項(xiàng),需要的朋友可以參考下2018-08-08詳解MongoDB數(shù)據(jù)庫基礎(chǔ)操作及實(shí)例
這篇文章主要介紹了詳解MongoDB數(shù)據(jù)庫基礎(chǔ)操作及實(shí)例的相關(guān)資料,希望通過本文能幫助到大家,需要的朋友可以參考下2017-09-09Window環(huán)境下配置Mongodb數(shù)據(jù)庫
這篇文章介紹了Window環(huán)境下配置Mongodb數(shù)據(jù)庫的方法,對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2022-07-07MongoDB4.28開啟權(quán)限認(rèn)證配置用戶密碼登錄功能
這篇文章主要介紹了MongoDB4.28開啟權(quán)限認(rèn)證配置用戶名和密碼認(rèn)證登錄,本文分步驟給大家介紹開啟認(rèn)證登錄的方法,需要的朋友可以參考下2022-01-01ubuntu安裝mongodb創(chuàng)建賬號和庫及添加坐標(biāo)索引的流程分析
這篇文章主要介紹了ubuntu安裝mongodb創(chuàng)建賬號和庫及添加坐標(biāo)索引的流程分析,本文給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下2020-10-10MongoDB 3.4配置文件避免入坑的注意事項(xiàng)
最近在配置mongodb的時候遇到了一些問題,現(xiàn)總結(jié)出來方便以后需要或同樣遇到該問題的朋友們參考,下面這篇文章主要給大家介紹了關(guān)于MongoDB 3.4配置文件時避免入坑的兩個注意事項(xiàng),需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)下吧。2017-09-09