基于角色的访问控制 - MongoDB安全设置

最新推荐文章于 2024-05-02 22:08:13 发布
最新推荐文章于 2024-05-02 22:08:13 发布
阅读量358 收藏
点赞数
文章标签: 数据库 运维 shell
原文链接:https://my.oschina.net/u/1404949/blog/3039463
版权

MongoDB使用默认配置启动时,一旦客户端连接后就可以对数据库做任意操作,而且可以远程访问数据库,所以在生产环境要注意安全方面的问题。提高MongoDB安全性有以下几个方面:限制特定IP地址访问、设置监听端口、设置登录的账户密码、使用TLS/SSL加密传输等。

限制特定IP地址访问、设置监听端口

方法1、 设置配置文件/etc/mongod.conf

[root@gz-tencent ~]# cat /etc/mongod.conf 
# mongod.conf
...
# network interfaces
net:
  port: 27017
  bindIp: 127.0.0.1  # Enter 0.0.0.0,:: to bind to all IPv4 and IPv6 addresses or, alternatively, use the net.bindIpAll setting.

方法2、直接带参数启动

[root@gz-tencent ~]# mongod --bind_ip 127.0.0.1 --port 27017

设置登录账户密码

MongoDB默认不需要验证账户和密码,启动后可以直连MongoDB,并获得所有库的root操作权限。创建一个数据库新用户使用db.createUser(user, writeConcern)方法,如果用户存在则返回一个用户重复错误。

user:创建关于用户的身份认证和访问信息

属性描述
user用户的名字
pwd用户的密码
cusomData为任意内容,例如可以为用户全名介绍
roles指定用户的角色,可以用一个空数组给新用户设定空角色

writeConcern:保证MongoDB提供写操作的成功报告

属性描述
w选项允许的值分别是 1、0、大于1的值、"majority"、<tag set>
j选项确保mongod实例写数据到磁盘上的journal(日志),这可以确保mongd意外关闭不会丢失数据。设置true启用。
wtimeout指定一个时间限制,以毫秒为单位。wtimeout只适用于w值大于1。

添加账号步骤:

1、给admin库添加数据库管理角色
2、给需要操作的库添加数据库用户角色

[root@gz-tencent ~]# mongo 127.0.0.1:27018
...
> use admin
> db.createUser(
  {
    user: "root",
    pwd: "root",
    roles: [ "root" ]
  }
)
> db.createCollection("test")
{ "ok" : 1 }
> use test
switched to db test
> db.createUser( 
    { "user" : "test",
      "pwd": "test123",
      "customData" : { employeeId: 007 },
      "roles" : [ 
            { role: "clusterAdmin", db: "admin" },
            { role: "readAnyDatabase", db: "admin" },
            "readWrite"
        ] 
    },
    { w: "majority" , wtimeout: 5000 } 
)

3、重新登录mongod

[root@gz-tencent ~]# mongo 127.0.0.1:27018/test
MongoDB shell version v4.0.5
connecting to: mongodb://127.0.0.1:27018/test?gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("008fbb2b-e6bb-43f2-92fa-ea836a9a6d49") }
MongoDB server version: 4.0.5
> db.test.find()
Error: error: {
    "ok" : 0,
    "errmsg" : "command find requires authentication",
    "code" : 13,
    "codeName" : "Unauthorized"
}
> db.auth("test","test123")
1
> db.test.find()
{ "_id" : ObjectId("5c546dc31f5a1d6f8c9b037a"), "name" : "Dreamson.Ma" }
> exit
bye
[root@gz-tencent etc]# mongo 127.0.0.1:27018/test -u test -p test123
> db.test.find()
{ "_id" : ObjectId("5c546dc31f5a1d6f8c9b037a"), "name" : "Dreamson.Ma" }

4、更新用户密码

[root@gz-tencent etc]# mongo 127.0.0.1:27018/admin -u root -p root
...
> use test
switched to db test
> db.changeUserPassword("test","test")
> exit
bye
[root@gz-tencent etc]# mongo 127.0.0.1:27018/test -u test -p test123
...
2019-02-02T00:34:53.282+0800 E QUERY    [js] Error: Authentication failed. :
...
[root@gz-tencent etc]# mongo 127.0.0.1:27018/test -u test -p test
MongoDB shell version v4.0.5
connecting to: mongodb://127.0.0.1:27018/test?gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("bede758c-ab00-4ee5-aeff-aa229492239e") }
...

5、删除用户

[root@gz-tencent etc]# mongo 127.0.0.1:27018/admin -u root -p root
...
> use test
switched to db test
> db.dropUser("test")
false
> show users
> exit
bye

Mongo内置角色

属性描述
数据库用户角色read、readWrite
数据库管理角色dbAdmin、dbOwner、userAdmin
集群管理角色clusterAdmin、clusterManager、clusterMonitor、hostManager
备份恢复角色backup、restore
所有数据库角色,只用于admin数据库readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
超级用户角色root
内部角色__system

用户管理函数:

函数说明
db.auth对数据库进行用户身份验证。
db.createUser创建一个新用户。
db.updateUser更新用户数据。
db.changeUserPassword更改现有用户的密码。
db.dropAllUsers删除与数据库关联的所有用户。
db.dropUser删除单个用户。
db.grantRolesToUser将角色及其特权授予用户。
db.revokeRolesFromUser从用户删除一个角色。
db.getUser返回关于指定用户的信息。
db.getUsers返回与数据库关联的所有用户的信息。

转载于:https://my.oschina.net/u/1404949/blog/3039463

chiqiao5151
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MongoDB连接故障排除:Authentication Failed解决方案
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
06-28 1万+
MongoDB是一种流行的开源文档数据库,它提供了强大的功能和灵活的数据存储方式。然而,在连接MongoDB时,有时会遇到"Authentication Failed"错误,这可能是由于身份验证失败导致的。本文将详细介绍如何排除MongoDB连接故障,并提供解决"Authentication Failed"错误的操作步骤和详细说明。
〖Python 数据库开发实战 - MongoDB篇⑥〗- MongoDB的用户管理
热门推荐
易编橙 · 终身成长社群,相遇已是上上签!
10-27 3万+
大家好,该章节我们来学习一下 MongoDB 的 "用户管理",上一章节我们无论是使用命令行还是图形界面都是不需要登录,直接就可以访问的。那么 MongoDB 能不能设置账户,开启登录验证呢?答案是当然可以,该章节的内容就来学习这一部分的内容吧。
基于JAVA实现的WEB端UI自动化 - WebDriver框架篇 - ant使用 - ant调用email 自动发送邮件
最新发布
2401_84002271的博客
05-02 1028
即使是面试跳槽,那也是一个学习的过程。只有全面的复习,才能让我们更好的充实自己,武装自己,为自己的面试之路不再坎坷!今天就给大家分享一个Github上全面的Java面试题大全,就是这份面试大全助我拿下大厂Offer,月薪提至30K!我也是第一时间分享出来给大家,希望可以帮助大家都能去往自己心仪的大厂!为金三银四做准备!
MongoDB安全认证
Kiven_ch的博客
08-07 668
安全认证概述   MongoDB 默认是没有账号的,可以直接连接,无须身份验证。实际项目中肯定是要权限验证的,否则后果不堪设想。从2016年开始 发生了多起MongoDB黑客赎金事件,大部分MongoDB安全问题 暴露出了安全问题的短板其实是用户,首先用户对于数据库安全不重视,其次用户在使用过程中可能没有养成定期备份的好习惯,最后是企业可能缺乏有经验和技术的专业人员。所以对MongoDB进行安全认证是必须要做的。 用户相关操作 切换到admin数据库对用户的添加 use admin; db.createU
docker创建mongo容器并设置mongo权限
qq_30095631的博客
09-24 1180
docker 创建运行mongo容器,并进入到容器内部 $ docker run -itd --name mongo -p 27017:27017 mongo --auth $ docker exec -it mongo mongo admin 创建用户 创建所有数据库管理用户 db.createUser({ user: "useradmin", pwd: "adminpassword", roles: [{ role: "userAdminAnyDatabase", db: "admin" }] }
解决MongoDB中couldn‘t add user: command createUser requires authentication报错
Oliver尹的博客
01-28 1万+
MongoDB新建了一个数据库,添加用户时报错: couldn't add user: command createUser requires authentication
Laravel开发-laravel-mongodb-permission
08-28
SPATIE的权限管理包允许我们在Laravel应用中轻松地实现用户角色和权限的分配,从而控制用户的访问权限。 安装SPATIE的权限管理包时,我们需要在我们的项目中运行以下命令: ```bash composer require spatie/...
spring-security-mongodb:Spring Security MongoDB扩展
05-17
6. 定义访问决策策略,如基于角色访问控制(RBAC),并配置相应的AccessDecisionVoter。 Spring Security MongoDB扩展还提供了许多其他特性,比如Remember Me服务,可以记住用户的登录状态,下次访问时自动登录;...
面试专题-MongoDB专题部分
02-22
8. **安全性**:MongoDB安全特性包括身份验证、访问控制、SSL连接、角色权限和审计日志,确保数据安全。 9. **性能优化**:了解如何进行性能调优至关重要,包括正确使用索引、合理设置内存大小、监控和分析查询...
Note-App-with-MongoDB
03-14
本项目“Note-App-with-MongoDB”正是基于Swift开发的一款笔记应用程序,它将MongoDB数据库集成其中,为用户提供了一种方便、灵活的数据存储解决方案。 MongoDB是一种流行的NoSQL数据库,以其灵活性、高性能和易于...
Error: Authentication failed. : connect@src/mongo/shell/mongo.js:344:17
YiQieFuCong的博客
08-16 5852
关于mongodb新创建用户登录不到问题 楼主这边使用的mongo版本为4.0.12 问题原因很简单 用户认证失败 之前的版本应该没有这个问题 首先你通过admin通过默认命令还是可以连接上的,但是通过新建的账号死活就是不能连接跑出来上面这个异常。 解决方式 在admin创建账户时指定了数据库,创建的用户只在该数据库下有效。可以通过如下命令试下。 mongo 127....
2021-05-04T23:26:32.208+0800 E QUERY [js] Error: listDatabases failed:{ “ok“ : 0,
qq_42556623的博客
05-04 4219
解决办法:mongo --port 27017 -u “root” -p “root” --authenticationDatabase “admin”
Node.js Mongoose数据库连接失败 提示:Authentication failed
weixin_30869099的博客
05-31 1932
mongoose.connect('mongodb://username:password@127.0.0.1:27017/qianxunkefu_db')换成mongoose.connect('mongodb://username:password@127.0.0.1:27017/qianxunkefu_db?authSource=admin') 转载于:https://www.cnblogs....
MongoDB数据库常见问题诊断
weixin_34391854的博客
05-31 549
重要的内容 MongoDB的主备节点在运行过程中是不固定的,实例重启、升级、节点故障等都有可能导致主备切换,在生产环境应该使用副本集的方式来正确连接MongoDB来实现高可用。 连接问题 用户可通过DMS或mongo shell连接MongoDB数据库,以下场景都基于用户使用mongo shell连接数据库。 Q: 连接实例提示网络超时? # /u01...
MongoDB的身份验证
duzm200542901104的专栏
07-13 2万+
1、当开启了安全检查之后,只有通过身份认证的用户才能进行数据的读写操作2、admin和local是两个特殊的数据库,它们当中的用户可对任何数据库进行操作3、经认证后,管理员用户可对任何数据库进行读写操作,同时能执行只有管理员才能执行的命令4、在开启了安全检查的数据库启动前,应至少添加一个管理员用户5、db.createUser()在当前数据库中创建一个新用户,如果用户已经存在了则抛出异常db.cr...
springboot mongodb连接认证失败
小无言的博客
08-13 1万+
com.mongodb.MongoCommandException: Command failed with error 13 (Unauthorized): 'command insert requires authentication' on server localhost:27017. The full response is { "ok" : 0.0, "errmsg" : "comma...
安装Mongodb并解决用户授权问题
Tyler_Zx的博客
05-26 3833
前言: 最近学校有个大数据的作业要用到Mongodb,原本以为很快就可以搞定。但用yum安装的Mongodb在用户授权时一直出错,具体问题如下: [js] Error: listDatabases failed:{ "ok" : 0, "errmsg" : "command listDatabases requires authentication", "code" : 13, "codeN...
MongoDB分布式存储的访问控制策略详解与角色权限管理
在传统的关系型数据库如MySQL中,访问控制通常基于用户账号和主机地址的组合,通过授权来设置哪些用户可以从哪些服务器访问数据库,并决定其操作权限。然而,MongoDB的策略有所不同。它采用角色(Role)的方式来管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值