[MongoDB]-权限验证管理

原创 已于 2023-10-09 11:23:22 修改 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mongodb #数据库

于 2023-10-09 11:22:23 首次发布
本文详细介绍了如何为MongoDB副本集群启用认证,包括生成Keyfile、修改配置、重启实例,以及用户角色的创建、密码修改、权限分配和回收等操作,确保数据库安全。

[MongoDB]-权限验证管理

senge | 2023年9月

背景说明:现有两套MongoDB副本集群给开发人员使用时未开启认证。

产生影响:用户若输入账号以及密码则会进行校验,但用户可以在不输入用户名和密码的情况下也可直接登录。

倘若黑客借此进行攻击勒索,后果是比较严重的。所以下面我们一起为我们的集群增加认证。

当前版本:4.4.15

1. 生成Keyfile文件

某个节点下面进行操作:

openssl rand -base64 753 > /data/mongodb/etc/mongo.keyfile

chmod 600 /data/mongodb/etc/mongo.keyfile

将生成的文件复制到其他节点:

scp /data/mongodb/etc/mongo.keyfile user@host:/dir

2. 修改配置文件

# 配置文件末尾添加:
security:
    keyFile: /xxx/mongo.keyfile
    authorization: enabled

3. 重启实例

可以先将slave节点停止,再重启Primary节点后,启动slave节点,这样不会更改主节点。

4. 验证集群状态


> rs.status()

"health" : 1 即为某节点正常

5. 用户角色

在增加认证登录后,我们还可以对用户的权限进行设置,增加安全性。

5.1 创建用户

> use admin

> db.createUser(
    {
        user:"username",
        pwd:"xxxxxx",
        roles:[{role:"xxx",db:"xxx"}]
    }
)

关于 role 有以下几种:

请添加图片描述

5.2 修改用户密码


> use admin

> db.changeUserPassword('用户名','新密码');

> db.auth('用户名','新密码');

5.3 用户赋权

db.grantRolesToUser(
    "username",
    [
        { role: "xxxx", db: "xxxx" }
    ]
)

不会影响已有权限

5.4 回收权限

db.revokeRolesFromUser(
    "username",
    [
        { role: "xxxx", db: "xxxx" }
    ]
)

5.5 更新用户

db.updateUser(
    "username",
    {
        customData: { info: "user for username" },
        roles: [
            { role: "dbabd", db: "admin" },
            { role: "read", db: "admin" }
        ]
    }
)

customData: 账户信息描述

到此,我们的对于MongoDB的权限介绍就结束了,如果不对之处,敬请指正,溜啦~~

Centos7 搭建Mongodb 分片集群4.0+keyfile内部安全认证+清理日志+扩容缩容(一)
记录点滴生活
12-14 2322
Centos7 搭建Mongodb 分片集群一、安装MongoDB社区版1、配置程序包管理系统(`yum`)2、安装MongoDB软件包。3、创建运行mongodb的目录并禁用SELinux4、修改文件打开数5、初始化系统5.1、mongoconfig.conf配置5.2、shard mongd.conf配置5.3、mongos.conf6、数据库加安全认证 安装启动顺序:config–>shard–>mongos 一、安装MongoDB社区版 ip tools 146.11.5
MongoDB分片+副本+keyFile认证(新手部署完整版)
浴火成诗的博客
02-26 1260
MongoDB分片+副本+keyFile认证(新手部署完整版) 部署详情 服务器yhcs_1 IP:192.168.43.211 服务器yhcs_2 IP:192.168.43.212 服务器yhcs_3 IP:192.168.43.213 mongos mongos mongos config server conf...
Mongodb 集群keyFile认证
热门推荐
学无涯,愈进而愈惘
03-11 1万+
mongodb集群Replica Set模式,配置keyFile认证,预防黑客攻击
MongoDB——centOS7环境Mongodb权限管理(图解版)
小志的博客
10-10 1444
MongoDB——centOS7环境Mongodb权限管理(图解版)
centos8+docker+mongodb4 分片集群搭建+keyfile权限认证
APPLEHU09的博客
09-15 1118
上周写了windows12R2下MongoDB搭建集群和asp.net core3.1连接集群应用 这次把centos8+docker+mongodb分片集群搭建+keyfile权限认证全过程也记录一下(在centos8系统测试通过),希望可以给小伙伴带来参考价值。 一、mongodb集群、分片概述 mongodb分片集群由下面几个组建组成: 1、shard 官方建议采用副本集,提供数据冗余和高可用,主要存储业务数据 2、mongos 是应用程序的路由接口,通过它,应用程序与整个集群是...
mongodb-async-driver-2.0.1 jar包
07-28
5. **认证和安全性**:支持MongoDB的各种安全特性,包括SSL/TLS加密连接、身份验证(如SCRAM-SHA-1或MONGODB-CR)、角色权限管理和访问控制。 6. **CRUD操作**:提供对MongoDB基本的Create(创建)、Read(读取)、...
mongodb-linux-x86_64-rhel70-4.4.13安装包和conf配置文件
04-11
你现在已经具备了运行、管理MongoDB数据库的基础知识,可以进一步探索复制集、分片、索引、聚合等功能,以满足更复杂的应用场景。同时,作为运维人员,了解数据库性能监控、备份恢复以及安全性策略也是必不可少的...
mongodb-linux-aarch64-ubuntu1804-4.2.5.tgz
04-16
4. **设置权限**:MongoDB需要能够读写数据目录,所以赋予必要的权限: ``` sudo chown -R $USER:$USER /data/db ``` 5. **启动MongoDB**:进入解压后的bin目录,然后启动mongod服务: ``` cd mongodb-linux-...
mongodb-linux-x86_64-rhel70-3.4.9.tgz
08-28
3. **创建数据目录**:MongoDB需要一个用于存储数据的目录,如 `/data/db`,创建并给予适当权限:`mkdir -p /data/db && chmod 755 /data/db`。 4. **启动MongoDB**:进入解压后的bin目录,运行`./mongod`启动...
mongodb-linux-x86_64-rhel62-4.0.0.tgz
11-07
6. 验证MongoDB是否运行成功: ``` mongo --version ``` 安装完成后,你可以利用MongoDB提供的各种工具进行数据库管理,如`mongo`命令行客户端,以及`mongodump`, `mongorestore`, `mongotop`, `mongostat`等实用...
MongoDB配置文件详解
hanxiaozhang的博客
12-06 4398
前言: 由于公司更换了云服务器的供应商,我们部门的所有系统都要迁移到新的云服务器平台。这次我要负责MongoDB集群等基础服务的迁移工作,这几天,我在学习了解了MongoDB集群搭建配置的相关知识。我在网上搜索了一下关于MongoDB配置文件详细解释的文章,发现质量高的不多,所以,我想分享一下,我对MongoDB配置文件的一些总结。 正文: MongoDB配置文件: #Mongod config file # Mongod配置文件 #MongoDB configuration files .
mongodb管理学习之keyfile认证
xiaoQL520的博客
01-26 3898
一、keyfile认证 1创建keyfile(秘钥文件) 1.1要求 (1)通过密钥文件进行身份验证时,副本集中的每个mongo实例都使用密钥文件的内容作为与其他成员进行身份验证的共享密码。 只有拥有正确密钥文件的Mongod实例才能加入副本集。 (2)密钥文件的内容必须在6到1024个字符之间,并且对于副本集的所有成员必须是相同的。 1.2创建 您可以使用您选择的任何方法生成密
MongoDB--配置副本集群权限文件keyfile
一只小羊的专栏
06-28 1044
1、因为Mongodb的副本集部署在不同的服务器环境,之间通讯需要有权限验证来进行通信,所以就需要用到keyfile。3.0版本推荐X509形式。 2、auth权限只是用来限制客户端与服务器端之间的验证。 3、配置服务器副本集之间的keyfile需要以下步骤 1、下载openssl 2、安装到C盘 3、在DOS命令下,cd 到安装目录,执行语句(openssl rand -base64
mongodb 配置keyFile
weixin_40438198的博客
08-27 621
我整理的一些关于【数据安全】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://edu.51cto.com/mic-position/757.html?utm_platform=pc&utm_source=shequ&utm_medium=51cto&utm_content=bk...
生产环境部署MongoDB副本集(带keyfile安全认证以及用户权限)
浅抒流年的博客
06-11 874
转载链接 生产环境部署MongoDB副本集(带keyfile安全认证以及用户权限)
mongodb 创建keyfile
王小工小工历程
04-08 801
MongoDB 中,keyFile 是用于副本集成员间内部认证的密钥文件。它是一个包含随机字符串的文件,所有副本集成员必须使用相同的 keyFile 进行通信。以下是创建和配置 keyFile 的详细步骤。
mongodb副本集加分片集群安全认证使用账号密码登录
大伟爱自由的博客
12-05 1万+
mongodb副本集加分片集群开启安全认证授权,使用账号密码才能访问的配置。
关于centos7下搭建mongodb副本集群并带有keyfile认证的步骤
yanmouren110的博客
04-01 644
关于centos7下搭建mongodb副本集群并带有keyfile认证的步骤 第一步:下载mongodb安装包 地址:https://www.mongodb.com/download-center/community 根据需求选择社区版和企业版 根据自己的操作系统选择对应的版本 第二步:使用secureFX或winSCP文件传输工具将安装包推送至centos7环境下 第三步:安装mongodb ...
mongod副本集安全认证
qq_60142726的博客
05-27 642
mongod副本集安全认证
[root@yfw Rocket.Chat]# repoquery -l mongodb-org | grep bin Last metadata expiration check: 1:09:09 ago on Mon 10 Nov 2025 05:31:18 AM CST. Package mongodb-org-3.6.17-1.el8.x86_64 contains no files Package mongodb-org-3.6.18-1.el8.x86_64 contains no files Package mongodb-org-3.6.19-1.el8.x86_64 contains no files Package mongodb-org-3.6.20-1.el8.x86_64 contains no files Package mongodb-org-3.6.21-1.el8.x86_64 contains no files Package mongodb-org-3.6.22-1.el8.x86_64 contains no files Package mongodb-org-3.6.23-1.el8.x86_64 contains no files Package mongodb-org-3.6.0-1.el7.x86_64 contains no files Package mongodb-org-3.6.1-1.el7.x86_64 contains no files Package mongodb-org-3.6.10-1.el7.x86_64 contains no files Package mongodb-org-3.6.11-1.el7.x86_64 contains no files Package mongodb-org-3.6.12-1.el7.x86_64 contains no files Package mongodb-org-3.6.13-1.el7.x86_64 contains no files Package mongodb-org-3.6.14-1.el7.x86_64 contains no files Package mongodb-org-3.6.15-1.el7.x86_64 contains no files Package mongodb-org-3.6.16-1.el7.x86_64 contains no files Package mongodb-org-3.6.17-1.el7.x86_64 contains no files Package mongodb-org-3.6.18-1.el7.x86_64 contains no files Package mongodb-org-3.6.19-1.el7.x86_64 contains no files Package mongodb-org-3.6.2-1.el7.x86_64 contains no files Package mongodb-org-3.6.20-1.el7.x86_64 contains no files Package mongodb-org-3.6.21-1.el7.x86_64 contains no files Package mongodb-org-3.6.22-1.el7.x86_64 contains no files Package mongodb-org-3.6.23-1.el7.x86_64 contains no files Package mongodb-org-3.6.3-1.el7.x86_64 contains no files Package mongodb-org-3.6.4-1.el7.x86_64 contains no files Package mongodb-org-3.6.5-1.el7.x86_64 contains no files Package mongodb-org-3.6.6-1.el7.x86_64 contains no files Package mongodb-org-3.6.7-1.el7.x86_64 contains no files Package mongodb-org-3.6.8-1.el7.x86_64 contains no files Package mongodb-org-3.6.9-1.el7.x86_64 contains no files [root@yfw Rocket.Chat]#
最新发布
11-11
你运行的命令: ```bash repoquery -l mongodb-org | grep bin ``` 输出结果为: > `Package mongodb-org-3.6.xx-x.el8.x86_64 contains no files` 这说明:**你当前系统中启用的 MongoDB 仓库提供的 `mongodb-org` 包是一个“空包”或“虚拟元包”,它本身不包含任何文件,只用于依赖管理。** --- ## 🔍 根本原因分析 ### ❌ 问题根源: 你使用的 **MongoDB 官方仓库未正确配置** 或 **系统启用了错误的模块(module)导致安装了占位包而非真实二进制包**。 在 RHEL/CentOS/Rocky Linux 8+ 中,由于引入了 **DNF 模块化(modularity)**,系统可能会用一个“兼容性模块”替代真实的 MongoDB 软件包,导致: - `yum install mongodb-org` 成功但不安装任何实际文件 - `mongod`, `mongo` 命令不存在 - `/usr/bin/mongod` 文件缺失 这是典型的 **模块冲突 + 第三方仓库未启用** 导致的问题。 --- ## ✅ 正确解决方案:禁用默认模块,手动添加 MongoDB 官方仓库 ### ✅ 步骤 1:确认是否启用了 `mongodb` 模块 ```bash dnf module list mongodb ``` 你会看到类似输出: ``` mongodb [d] 3.6 module-default 4.2 5.0 ``` 其中 `[d]` 表示默认启用的是 3.6 版本。 但我们不要使用这个模块!它是 Red Hat 提供的“兼容层”,通常为空包或链接到系统自带数据库--- ### ✅ 步骤 2:禁用并重置 mongodb 模块 ```bash dnf module disable mongodb -y dnf module reset mongodb -y ``` 这会清除所有与 `mongodb` 模块相关的状态。 --- ### ✅ 步骤 3:添加 MongoDB 官方仓库(以 6.0 为例) 创建仓库文件: ```bash cat << 'EOF' > /etc/yum.repos.d/mongodb-org.repo [mongodb-org] name=MongoDB Repository baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/6.0/x86_64/ gpgcheck=1 enabled=1 gpgkey=https://www.mongodb.org/static/pgp/server-6.0.asc EOF ``` > ✅ 推荐版本选择: > - `6.0`: 最新稳定版(推荐) > - `5.0`: 长期支持版(LTS) > - `4.4`: 已 EOL,不建议 > > 如果你需要特定版本,请告知我。 --- ### ✅ 步骤 4:清理缓存并重新生成元数据 ```bash dnf clean all dnf makecache ``` --- ### ✅ 步骤 5:安装完整的 MongoDB 社区版套件 ```bash dnf install -y mongodb-org ``` 这次你应该看到: - Installing: `mongodb-org`, `mongodb-org-server`, `mongodb-org-shell`, etc. - Files like `/usr/bin/mongod`, `/usr/bin/mongo` 将被正确安装 --- ### ✅ 验证安装成功 ```bash which mongod # 输出应为:/usr/bin/mongod mongod --version # 应显示版本信息,如:db version v6.0.x ``` 检查服务单元是否存在: ```bash systemctl cat mongod ``` 你应该能看到 `ExecStart=/usr/bin/mongod $OPTIONS`。 --- ### ✅ 启动 MongoDB 服务 确保配置目录和权限正确: ```bash mkdir -p /var/lib/mongo /var/log/mongodb chown -R mongod:mongod /var/lib/mongo /var/log/mongodb chmod -R 755 /var/lib/mongo /var/log/mongodb ``` 启动服务: ```bash systemctl enable mongod systemctl start mongod systemctl status mongod ``` ✅ 成功后状态为 `active (running)`。 --- ## 📌 总结:为什么之前失败? | 原因 | 说明 | |------|------| | 使用了系统模块 `mongodb:3.6` | 这个模块是占位符,不提供真实二进制文件 | | 未添加官方仓库 | 默认仓库源中没有真正的 MongoDB 二进制包 | | `mongodb-org` 是元包 | 只定义依赖,不包含文件 | --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

森格的博

创作不易,感谢支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值