【转】MongoDB-安全与认证

最新推荐文章于 2013-12-27 15:02:29 发布
最新推荐文章于 2013-12-27 15:02:29 发布
阅读量111 收藏
点赞数
分类专栏: 数据库 Mongodb 文章标签: 数据库 shell 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mib_2012/article/details/84507678
版权

Mongodb的安全模式默认是关闭,此时它需要在一个可信任的运行环境中。

在可信任的环境中使用默认的关闭安全模式最简单,但是需要确保可信任的设备访问数据库的TCP端口,

这通常需要隔离数据库所在设备,使其完全无法访问外部网络。

确保网络安全

防火墙策略

以下是数据库必须的默认端口:(sina博客的编辑器很操蛋,表格搞不过来)

参见: http://www.mongodb.org/display/DOCS/Security+and+Authentication#SecurityandAuthentication-RunninginaTrustedEnvironment(without\auth) 

1, 在分片式环境中

    a,集群中的所有的mongodb进程(mongos, mongod, mongod--configsvr)应该是能相互连接的。

    b,客户端必须能够连接到mongos进程,但是,它们可以从mongod被阻塞。

2,在非分片式副本环境中

    a,所有客户端必须能连接所有非隐藏的副本集成员。

    b,副本集的所有成员(mongod进程)需要能够相互通信。

IP 地址绑定

默认情况下,mongod服务器将监听设备上所有可用的IP地址。可以在mongod的"bind_ip"配置项中限制监听的IP地址。

TCP端口号

mongodb默认监听下列端口号:

独立mongod服务:27017

mongos服务: 27017

分片服务(mongod --shardsvr): 27018

配置服务(mongod --configsvr):27019

mongod的网站统计页面端口:通常是28017,即独立mongod服务端口号加1000, 可以用 --nohttpinterface 命令行参数禁止统计页面。

以上端口可以更改但不推荐。

在安全模式下运行(使用 --auth 或者 --keyFile)

mongodb支持身份验证和简单的粗粒度访问控制的"安全模式". 可以通过 --anth和--keyFile命令行参数启用。

一个通过用户名密码认证的特定数据库,一旦通过认证,普通用户能够完全读写数据库。还可以创建只读用户,使其只有读取权限。

admin数据库是一个特殊的库。一些管理命名只能在admin数据库运行(所以只能由admin运行)。

当然,用户能访问admin数据库也能读写在服务或集群中的其他数据库。

注意:即使使用安全模式,也应该设置合理的防火墙策略。

admin身份登录

虽然通常admin账号能访问服务器上的任何数据库,但是必须先使用admin账号登录admin数据库,再use其他数据库,下面的登陆将会成功:

> use admin
> db.auth("someAdminUser", password)
> // and then if desired switch databases:
> use test

下面这个登陆将会失败:

> use test
> db.auth("someAdminUser", password)

 

启用安全模式

要启用安全模式必须要1,在使用 --auth启动服务前为admin db添加了一个用户。

或2,从本地连接(localhost connection)添加第一个用户(如果不能添加用户,那应该是非本地连接)。


配置

首先要为数据库进程创建一个管理员账户,此用户保存在特殊的admin数据库中。


如果没有admin账户,可以从本地连接访问数据库而不需要验证。因此可以在数据库所在主机运行数据库shell和配置数据库:

$ mongo localhost/admin
> // we are using database admin
> db.addUser("theadmin", "anadminpassword")

 

现在创建了一个管理员账户。现在必须要经过验证才能使用:

假如用户已经存在,在shell中执行addUser命令能够更新密码。

一些mongodb驱动也提供了类似shell中addUser的方法。

 

删除账户

shell中执行

> db.auth("theadmin", "anadminpassword")

 

现在我们可以为其他数据库配置非管理员账户:

> // give joe read/write access to the projectx database
> use projectx
> db.addUser("joe", "passwordForJoe")

 

添加只读账户(1.4+):

 

修改密码

> use projectx
> db.addUser("guest", "passwordForGuest", true)

 

查看用户列表:

用户信息存储在每个数据库的system.users集合。例如数据库projectX中的用户存储在projectX.system.users集合。

> db.system.users.find()

> db.removeUser( username )
> // or
> db.system.users.remove( { user: username } )
> // check it worked:
> db.system.users.find()
> // check we are on the db we intended:
> db

 

分片式集群和副本集的安全模式

注意:在集群及副本集环境中必须使用keyFile参数,只使用--auth参数将无法工作。


     2.2以下的版本不支持集群环境下的只读用户。


客户端在集群中进行认证与在单服务器环境中的认证是一样的,唯一的区别是集群中服务器使用密钥文件进行内部沟通。


密钥文件基本上是一个明文的文件,hash计算后被当做集群的内部密码。


 
   
设置副本集 and/or 分片的验证:


 
   
a,创建key文件并复制到集合的每个服务器中。密钥文件是字符的base64集,加上空格与换行符。


 
   
b,修改密钥文件权限为只能被当前用户读取。


 
   
c,启动集群中的服务器时使用命令行参数 --keyFile /path/to/file


 
   
d,客户端都必须验证和才能使用


 
   
启动时可以不使用 --auth参数,因为使用了 --keyFile就必须验证,也就是隐含了 --auth。但是--auth并不隐含 --keyFile。

 
   
 

 
   
密码文件

 
   
密钥文件必须至少包含6个base64字符并且不大于1K(B包括空格)。


 
   
空格字符将被去除,所以对数据库来说,下面的密钥文件是一样的:

 
   
$ echo -e "my secret key" > key1
$ echo -e "my secret key\n" > key2
$ echo -e "my    secret    key" > key3
$ echo -e "my\r\nsecret\r\nkey\r\n" > key4

 
  
 
 
 
 

     
 
 
 

   转自 http://blog.sina.com.cn/s/blog_48c49d5d010174v8.html 
 
 


                

        

        




    

  


    

      

        

            

              
                
                  mib_2012
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
mongodb-async-driver-2.0.1  jar包

				
			

			

				

					07-28
				

			

		

		

			
				
5. **认证安全性**:支持MongoDB的各种安全特性,包括SSL/TLS加密连接、身份验证(如SCRAM-SHA-1或MONGODB-CR)、角色权限管理和访问控制。  6. **CRUD操作**:提供对MongoDB基本的Create(创建)、Read(读取)、...

			
		

	



                

            
              



	

		

			

				
					
mongodb-windows-x86_64-5.0.5

				
			

			

				

					05-10
				

			

		

		

			
				
5.0版本可能进一步加强了这些安全特性,例如增加了更多的认证机制或强化了默认安全设置。  总的来说,"mongodb-windows-x86_64-5.0.5"是一个针对Windows平台的MongoDB数据库服务器,它提供了一套全面的解决方案,...

			
		

	



              


  
              

                


	

		

			

				
					
mongodb-compass-1.27.1-win32-x64.zip

				
			

			

				

					07-03
				

			

		

		

			
				
- **v8_context_snapshot.bin、snapshot_blob.bin、natives_blob.bin**:这些都是与V8 JavaScript引擎相关的二进制文件,用于提供MongoDB Compass的JavaScript执行环境。 - **icudtl.dat**:这是一个国际化数据文件...

			
		

	





	

		

			

				
					
mongodb-linux-x86_64-enterprise-rhel70-4.4.5

				
			

			

				

					01-22
				

			

		

		

			
				
10. **安全措施**:MongoDB 4.4包含增强的安全性,如认证、授权、加密通信和审计日志,确保数据库安全运行。  总之,"mongodb-linux-x86_64-enterprise-rhel70-4.4.5"是MongoDB针对RHEL 7.0平台的企业级发行版,...

			
		

	



		

			
		



	

		

			

				
					
mongodb-linux-x86_64-rhel70-4.2.5.tgz

				
			

			

				

					04-20
				

			

		

		

			
				
安全方面,4.2.5版本引入了更多安全特性,包括TLS/SSL支持、认证和授权机制。你应该为MongoDB配置认证,限制只允许特定的用户和IP地址连接,避免未授权访问。此外,定期更新到最新版本以获取安全补丁和性能改进也...

			
		

	





	

		

			

				
					
Mongodb Objectid保存长度注意

				
			

			

				

					mib_2012的博客
				

				

					12-27
					
					2122
					
				

			

		

		

			
				
Mongodb Objectid长度最长24位,超过的话就会报错

			
		

	





	

		

			

				
					
Mongodb连接池参数

				
			

			

				

					mib_2012的博客
				

				

					09-27
					
					999
					
				

			

		

		

			
				

com.mongodb.MongoOptions源代码,其中有connectionsPerHost和threadsAllowedToBlockForConnectionMultiplier两个重要的属性。
   connectionsPerHost:每个主机的连接数
   threadsAllowedToBlockForConnectionMultiplier:线程队列数,它以上面conne...

			
		

	





	

		

			

				
					
MongoDb的“not master and slaveok=false”错误及解决方法 

				
			

			

				

					mib_2012的博客
				

				

					11-28
					
					994
					
				

			

		

		

			
				

首先这是正常的,因为SECONDARY是不允许读写的, 在写多读少的应用中,使用Replica Sets来实现读写分离。通过在连接时指定或者在主库指定slaveOk,由Secondary来分担读的压力,Primary只承担写操作。

对于replica set 中的secondary 节点默认是不可读的,

[mongodb@ligh bin]$ mongo 127.0.0.1:3333...

			
		

	





	

		

			

				
					
MongoDB数据文件备份与恢复

				
			

			

				

					mib_2012的博客
				

				

					03-11
					
					450
					
				

			

		

		

			
				

MongoDB数据文件备份与恢复
 
备份与恢复数据对于管理任何数据存储系统来说都是非常重要的。
 
1、冷备份与恢复——创建数据文件的副本(前提是要停止MongoDB服务器),也就是直接copy 
  www.2cto.com  
MongoDB将所有数据都存储在数据目录下,默认是/data/db/(Windows下是C:\data\db\),启动MongoDB时也可以用--db...

			
		

	





	

		

			

				
					
Web项目操作Mongodb数据连接过多异常总结

				
			

			

				

					mib_2012的博客
				

				

					09-27
					
					420
					
				

			

		

		

			
				

项目中使用Mongodb存储图片及文件,在后台操作中没操作一个就实例化一个Mongo对象及连接池,也没有手动关闭,到时随着访问增加连接数不断增加(通过db.serverStatus().connections查看),最后导致mongodb拒绝web服务连接,web服务器抛出异常,经过改造后讲Mongodb的初始化通过spring实例化管理并设置成单例,代码中只要得到使用基本,不用重复实例化,随着...

			
		

	





	

		

			

				
					
Mongodb与spring集成(4)------读写mongo GridFs中的文件

				
			

			

				

					mib_2012的博客
				

				

					03-12
					
					273
					
				

			

		

		

			
				

 
自 http://blog.csdn.net/laigood12345/article/details/7414365
 
 
mongodb里面自带有一个分布式文件系统gridFs,它是以块的方式来存储文件的,一般的存储都够用了,国内一个使用例子是视觉中国使用它来进行上亿数据级的图片存储,可以看出这套文件系统还是挺强大的。下面介绍下如何用spring-data-mongodb来...

			
		

	





	

		

			

				
					
在多个节点上部署Oracle NoSQL数据库

				
			

			

				

					mib_2012的博客
				

				

					06-21
					
					271
					
				

			

		

		

			
				
1. 简介
Oracle NoSQL数据库是一款基于Berkeley DB Java Edition构建的,分布式的,跨数据中心的Key-Value数据库。它是一款高性能,和极短的响应时间(毫秒级)的云数据库方案。Oracle NoSQL数据库使客户能够轻松地管理大量的,动态模式 (dynamic schemas) 的数据,如Web日志数据,传感器和智能仪表的数据,用户个性化数据,和社交网络的数...

			
		

	





	

		

			

				
					
Mongodb安全认证及Java调用

				
			

			

				

					mib_2012的博客
				

				

					11-28
					
					222
					
				

			

		

		

			
				

Mongodb安全认证在单实例和副本集两种情况下不太一样,单实例相对简单,只要在启动时加上 --auth参数即可,但副本集则需要keyfile。
 
一、单实例
1.启动服务(先不要加auth参数)
2.登陆后切换到admin库并添加管理员账号
  2.1  创建系统管理员用户
默认条件下,超级管理员只能用于帐号管理,不能进行其他数据库操作,可以通过自己给自己授权实现。生产环境中的...

			
		

	





	

		

			

				
					
Mongodb源码修改日志(分片连接数优化)

				
			

			

				

					mib_2012的博客
				

				

					09-27
					
					202
					
				

			

		

		

			
				

最近根据Mongodb使用中出现的一些问题,对Mongodb的源码进行了一些简单的修改,记录如下: 高连接数解决方案:mongodb连接池优化
优化连接池使用效率,更细粒度的调整连接数设置,降低分片集群和复制集的连接数。
1.mongos,mongod启动参数添加connPoolTimeout参数,设置连接数超时时间。
2.添加connPoolTimeout 命令,设置超时时间 db.r...

			
		

	





	

		

			

				
					
mongodb中删除数组内嵌对象文档

				
			

			

				

					mib_2012的博客
				

				

					03-11
					
					199
					
				

			

		

		

			
				

这个问题在做数据结构的时候经常用到,刚开始没怎么留意,因为我的数组都只是单元素文档:只有一个ObjectId,这样用pull操作完全没有问题,但后来用对象作为了数据的内容,就是数组内嵌的对象,这时候用pull就是各种不生效。发现Mongodb对数组内对象的get和pull使用的书写格式不一致。下面我列出可以使用的书写方式:
先列出mongodb的数据结构

{
  "_id" : Ob...

			
		

	





	

		

			

				
					
】搭建mongodb分片(分片key选择)

				
			

			

				

					mib_2012的博客
				

				

					03-12
					
					181
					
				

			

		

		

			
				

Sharding分片概念
这是一种将海量的数据水平扩展的数据库集群系统,数据分表存储在sharding的各个节点上,使用者通过简单的配置就可以很方便地构建一个分布式MongoDB集群。
MongoDB 的数据分块称为 chunk。每个 chunk 都是 Collection中一段连续的数据记录,通常最大尺寸是 200MB,超出则生成新的数据块。
要构建一个 MongoDB Shardin...

			
		

	





	

		

			

				
					
】为什么java无法连接搭在一台机器上的mongo复制集

				
			

			

				

					mib_2012的博客
				

				

					03-08
					
					179
					
				

			

		

		

			
				

这篇文章或许已经不再使用,测试版本为2.7.x,有兴趣可以测试最新版本
一、问题说明:       最近测试mongo复制集,由于没有机器,所以选择在一台虚拟机上搭建。然后使用mongo-java-driver连接。①、复制集初始化函数如下:       

> config = {_id: 'shard1', members: [{_id: 0, host: '127.0.0.1:...

			
		

	





	

		

			

				
					
mongodb配置文件(自官网)

				
			

			

				

					mib_2012的博客
				

				

					04-07
					
					177
					
				

			

		

		

			
				

运行时数据库配置
命令行和配置文件界面可为 MongoDB 管理员提供大量选项和设置,用于控制数据库系统的运行。该文档提供了通用配置以及普通使用案例的最佳配置示例。
尽管两种界面都可访问相同的选项和设置集合,但该文档主要使用配置文件界面。如果您使用控制脚本或操作系统的程序包来运行 MongoDB,很可能已经有一个配置文件,该文件位于 /etc/mogondb.conf。检查/etc/init...

			
		

	





	

		

			

				
					
MongoDB 状态监控、备份复制及自动分片

				
			

			

				

					mib_2012的博客
				

				

					03-12
					
					166
					
				

			

		

		

			
				

如果MongoDB仅仅是一个文档型的数据库,那就没有什么亮点了,然而MongoDB最大优点在于读扩展,热备份,故障恢复以及自动分片(写扩展)。这节系列结束篇就把这些功能介绍一下。
备份复制实现了数据库备份的同时,实现了读写分离,又实现了读操作的负载均衡,即一台主写服务器,多台从属备份和读服务器,并且支持备份和读的集群 扩展。其中Replica Sets方式又支持故障切换,当主服务器down掉...

			
		

	





	

		

			

				
					
mongo将所有认证改为MONGODB-CR认证

					
最新发布

				
			

			

				

					05-24
				

			

		

		

			
				
MongoDB中,可以使用MONGODB-CR身份验证机制对用户进行身份验证。如果您想将所有用户的身份验证机制从默认的SCRAM-SHA-1更改为MONGODB-CR,可以按照以下步骤操作:  1.首先,连接到MongoDB,并切换到admin数据库。...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值