MongoDB 基础安全性(权限操作)

最新推荐文章于 2022-05-28 14:40:18 发布
最新推荐文章于 2022-05-28 14:40:18 发布
阅读量249 收藏
点赞数
分类专栏: db

和其他所有数据库一样,权限的管理都差不多一样。mongodb存储所有的用户信息在admin 数据库的集合system.users中,保存用户名、密码和数据库信息。mongodb默认不启用授权认证,只要能连接到该服务器,就可连接到mongod。若要启用安全认证,需要更改配置文件参数auth。


以下测试理解


查看数据库:


  1. > show dbs  
发现 admin 竟然没有!~


找了好久,找不到相关说明,于是直接创建用户admin


  1. use admin  
  2.   
  3.   
  4. db.createUser(  
  5.   {  
  6.     user: "admin",  
  7.     pwd: "admin",  
  8.     roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]  
  9.   }  
  10. )  
成功创建,再查询admin中的集合,有数据了!
  1. > show collections  
  2. system.indexes  
  3. system.users  
  4. system.version  

查看3个集合的信息:

  1. > db.system.users.find();  
  2. { "_id" : "admin.admin", "user" : "admin", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "cFISfpbm04pmIFpqiL340g==", "storedKey" : "WG1DSEEEHUZUBjsjsnEA4RFVY2M=", "serverKey" : "9Lm+IX6l9kfaE/4C25/ghsQpDkE=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }  
  3. >   
  4. > db.system.indexes.find();  
  5. { "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.version" }  
  6. { "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.users" }  
  7. { "v" : 1, "unique" : true, "key" : { "user" : 1, "db" : 1 }, "name" : "user_1_db_1", "ns" : "admin.system.users" }  
  8. >   
  9. > db.system.version.find();  
  10. { "_id" : "authSchema", "currentVersion" : 5 }  
  11. >   

现在启用 auth:
[root@localhost ~]# vi /etc/mongod.conf

  1. auth=true  

重启 mongod 服务:

[root@localhost ~]# service mongod restart


直接默认登录,查看集合,发现无权操作了:

[root@localhost ~]# mongo


  1. [root@localhost ~]# mongo  
  2. MongoDB shell version: 3.0.2  
  3. connecting to: test  
  4. > show dbs  
  5. 2015-05-09T21:57:03.176-0700 E QUERY    Error: listDatabases failed:{  
  6.     "ok" : 0,  
  7.     "errmsg" : "not authorized on admin to execute command { listDatabases: 1.0 }",  
  8.     "code" : 13  
  9. }  
  10.     at Error (<anonymous>)  
  11.     at Mongo.getDBs (src/mongo/shell/mongo.js:47:15)  
  12.     at shellHelper.show (src/mongo/shell/utils.js:630:33)  
  13.     at shellHelper (src/mongo/shell/utils.js:524:36)  
  14.     at (shellhelp2):1:1 at src/mongo/shell/mongo.js:47  
  15. >   


刚才在数据库 admin 创建了一个账户 admin ,先到数据admin进来连接(其他db则失败):


  1. [root@localhost ~]# mongo  
  2. MongoDB shell version: 3.0.2  
  3. connecting to: test  
  4. >  
  5. > db.auth("admin","admin")  
  6. Error: 18 Authentication failed.  
  7. 0  
  8. > use mydb  
  9. switched to db mydb  
  10. > db.auth("admin","admin")  
  11. Error: 18 Authentication failed.  
  12. 0  
  13. > use admin  
  14. switched to db admin  
  15. > db.auth("admin","admin")  
  16. 1  
  17. >   

db.auth("admin","admin") 返回值为1,说明登录成功!~db.auth("admin","admin") 记录是不存在的,执行完后这一行在shell中不会记录历史。


所以现在创建另一个用户"myuser"


  1. db.createUser(  
  2.   {  
  3.     user: "myuser",  
  4.     pwd: "myuser",  
  5.     roles: [ { role: "readWrite", db: "mydb" } ]  
  6.   }  
  7. )  

也可以增删角色:

  1. #授予角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])  
  2.   
  3. db.grantRolesToUser( "myuser" , [ { role: "dbOwner", db: "mydb" } ])  
  4.   
  5.   
  6. #取消角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])  
  7.   
  8. db.revokeRolesFromUser( "myuser" , [ { role: "readWrite", db: "mydb" } ])  

因为在admin数据库创建的,只能在 admin 数据库中登录:

  1. > db.auth("myuser","myuser")  
  2. Error: 18 Authentication failed.  
  3. 0  
  4. >   
  5. > db  
  6. mydb  
  7. > use admin  
  8. switched to db admin  
  9. > db.auth("myuser","myuser");  
  10. 1  
  11. >   

此时是可以切换到所在的数据库进行相关操作:

  1. > use mydb  
  2. switched to db mydb  
  3. >   
  4. > db.tab.save({"id":999});  
  5. WriteResult({ "nInserted" : 1 })  
  6. >   
  7. > db.tab.find({"id":999});  
  8. { "_id" : ObjectId("554ef5ac1b590330c00c7d02"), "id" : 999 }  
  9. >   
  10. > show collections  
  11. system.indexes  
  12. tab  
  13. >   

在创建用户时可以在其数据库中创建,这样不用每次都进入admin数据库登录后再切换。如在数据库"mydb"创建用户"userkk"。

  1. use admin  
  2.   
  3. db.auth("admin","admin")  
  4.   
  5. use mydb  
  6.   
  7. db.createUser(  
  8.   {  
  9.     user: "userkk",  
  10.     pwd: "userkk",  
  11.     roles: [ { role: "dbOwner", db: "mydb" } ]  
  12.   }  
  13. )  
  14.   
  15. db.auth("userkk","userkk")  


------------------------------------------------------------------------------------------------------------------

                                                      华丽分割

------------------------------------------------------------------------------------------------------------------


现在授权测试:


#先访问到admin数据库


  1. use admin  
  2.   
  3. db.auth("admin","admin")  


#切换到 mydb ,在数据库 mydb 中创建角色
#roles: 创建角色"testRole"在数据库 "mydb" 中
#privileges: 该角色可查看"find"数据库"mydb"的所有集合
#db.dropRole("testRole")

  1. use mydb  
  2.   
  3. db.createRole({   
  4.  role: "testRole",  
  5.  privileges: [{ resource: { db: "mydb", collection: "" }, actions: [ "find" ] }],  
  6.  roles: []  
  7. })  

#在admin数据库生成集合system.roles。查看角色。

  1. > use admin  
  2. switched to db admin  
  3. >   
  4. > show collections  
  5. system.indexes  
  6. system.roles  
  7. system.users  
  8. system.version  
  9. >   
  10. > db.system.roles.find();  
  11. { "_id" : "mydb.testRole", "role" : "testRole", "db" : "mydb", "privileges" : [ { "resource" : { "db" : "mydb", "collection" : "" }, "actions" : [ "find" ] } ], "roles" : [ ] }  
  12. >   

#回到mydb,在数据库mydb中创建用户并授予角色"testRole"
#db.dropUser("userkk")

  1. use mydb  
  2.   
  3. db.createUser(  
  4.   {  
  5.     user: "userkk",  
  6.     pwd: "userkk",  
  7.     roles: [ { role: "testRole", db: "mydb" } ]  
  8.   }  
  9. )  

退出mongodb,重新登录进行操作。发现只能使用find
>exit

  1. [root@localhost ~]# mongo  
  2. MongoDB shell version: 3.0.2  
  3. connecting to: test  
  4. > use mydb  
  5. switched to db mydb  
  6. >   
  7. > db.auth("userkk","userkk")  
  8. 1  
  9. >   
  10. > db.tab.find({"id":999})  
  11. { "_id" : ObjectId("554ef5ac1b590330c00c7d02"), "id" : 999 }  
  12. >   
  13. > db.tab.insert({"id":1000})  
  14. WriteResult({  
  15.     "writeError" : {  
  16.         "code" : 13,  
  17.         "errmsg" : "not authorized on mydb to execute command { insert: \"tab\", documents: [ { _id: ObjectId('554f145cdf782b42499d80e5'), id: 1000.0 } ], ordered: true }"  
  18.     }  
  19. })  
  20. >   

给角色 "testRole"  添加3个 “Privileges”权限: "update", "insert", "remove"。再重新操作。

  1. use admin  
  2.   
  3. db.auth("admin","admin")  
  4.   
  5. use mydb  
  6.   
  7. #添加Privileges给角色  
  8. db.grantPrivilegesToRole("testRole",  
  9.  [{ resource: { db: "mydb", collection: "" },actions: [ "update", "insert", "remove" ]}  
  10. ])  
  11.   
  12.   
  13. exit #退出mongodb重新登录  
  14.   
  15.   
  16. use mydb  
  17.   
  18. db.auth("userkk","userkk")  
  19.   
  20.   
  21. #增删数据可以操作了!~  
  22. db.tab.insert({"id":1000})  
  23. db.tab.find({"id":1000})  
  24. db.tab.remove({"id":1000})  
  25.   
  26.   
  27. #此时admin的角色记录为:  
  28. > db.system.roles.find();  
  29. { "_id" : "mydb.testRole", "role" : "testRole", "db" : "mydb", "privileges" : [ { "resource" : { "db" : "mydb", "collection" : "" }, "actions" : [ "find", "insert", "remove", "update" ] } ], "roles" : [ ] }  
  30. >   

#更改角色 roles,把roles值全部更新。同样Privileges也可以更新替换!~

  1. use admin  
  2.   
  3. db.auth("admin","admin")  
  4.   
  5. use mydb  
  6.   
  7. db.updateRole("testRole",{ roles:[{ role: "readWrite",db: "mydb"}]},{ w:"majority" })  
  8.   
  9. db.auth("userkk","userkk")  
  10.   
  11. show dbs  



关于角色,参考官方文档提取总结如下:

角色分类

角色

权限及角色

(本文大小写可能有些变化,使用时请参考官方文档)

Database User Roles

read

CollStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections

readWrite

CollStats,ConvertToCapped,CreateCollection,DbHash,DbStats,

DropCollection,CreateIndex,DropIndex,Emptycapped,Find,

Insert,KillCursors,ListIndexes,ListCollections,Remove,

RenameCollectionSameDB,update

Database Administration Roles

dbAdmin

collStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections,

dropCollection 和 createCollection 在 system.profile

dbOwner

角色:readWrite, dbAdmin,userAdmin

userAdmin

ChangeCustomData,ChangePassword,CreateRole,CreateUser,

DropRole,DropUser,GrantRole,RevokeRole,ViewRole,viewUser

Cluster Administration Roles

clusterAdmin

角色:clusterManager, clusterMonitor, hostManager

clusterManager

AddShard,ApplicationMessage,CleanupOrphaned,FlushRouterConfig,

ListShards,RemoveShard,ReplSetConfigure,ReplSetGetStatus,

ReplSetStateChange,Resync,

 

EnableSharding,MoveChunk,SplitChunk,splitVector

clusterMonitor

connPoolStats,cursorInfo,getCmdLineOpts,getLog,getParameter,

getShardMap,hostInfo,inprog,listDatabases,listShards,netstat,

replSetGetStatus,serverStatus,shardingState,top

 

collStats,dbStats,getShardVersion

hostManager

applicationMessage,closeAllDatabases,connPoolSync,cpuProfiler,

diagLogging,flushRouterConfig,fsync,invalidateUserCache,killop,

logRotate,resync,setParameter,shutdown,touch,unlock

Backup and Restoration Roles

backup

提供在admin数据库mms.backup文档中insert,update权限

列出所有数据库:listDatabases

列出所有集合索引:listIndexes

 

对以下提供查询操作:find

*非系统集合

*系统集合:system.indexes, system.namespaces, system.js

*集合:admin.system.users 和 admin.system.roles

restore

非系统集合、system.js,admin.system.users 和 admin.system.roles 及2.6 版本的system.users提供以下权限:

collMod,createCollection,createIndex,dropCollection,insert

 

列出所有数据库:listDatabases

system.users :find,remove,update

All-Database Roles

readAnyDatabase

提供所有数据库中只读权限:read

列出集群所有数据库:listDatabases

readWriteAnyDatabase

提供所有数据库读写权限:readWrite

列出集群所有数据库:listDatabases

userAdminAnyDatabase

提供所有用户数据管理权限:userAdmin

Cluster:authSchemaUpgrade,invalidateUserCache,listDatabases

admin.system.users和admin.system.roles:

collStats,dbHash,dbStats,find,killCursors,planCacheRead

createIndex,dropIndex

dbAdminAnyDatabase

提供所有数据库管理员权限:dbAdmin

列出集群所有数据库:listDatabases

Superuser Roles

root

角色:dbOwner,userAdmin,userAdminAnyDatabase

readWriteAnyDatabase, dbAdminAnyDatabase,

userAdminAnyDatabase,clusterAdmin

Internal Role

__system

集群中对任何数据库采取任何操作



参考:mongo Shell Methods  , Built-In RolesSecurity Methods in the mongo Shell

mnasd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mongodb副本集测试用户验证.pdf
09-07
mongodb的副本集基本的部署过程,采用的是配置文件再添加节点的方式。为应对mongodb安全性问题,必须加上用户验证流程。附带上了添加不用权限用户验证的部署过程以及测试情况。
mongodb 常用语法
m0_37606574的博客
12-13 1085
https://blog.csdn.net/m0_37606574/article/details/111128197,在这里介绍了docker安装mongo的方式。基于此,我继续使用命令行来操作mongo 登录 登录mongo 第1个mongo参数:表示访问名为mongo的容器 mongo admin:表示在容器内部访问mongo,登录用户admin $ docker exec -it mongo mongo admin 其效果等同于 $ docker exec -it mongo .
mongodb命令
lonelyhiker
09-13 169
版本:3.4.23 用户增删改查 > use admin switched to db admin > db.auth('admin','123456') 1 > db.system.users.find().pretty() use admin // 表示这个账户在那个库验证 db.createUser( { user: "adminUserName", pwd: "userPassword", roles:
MongoDB用户权限操作
雅冰石的专栏
06-26 4774
#Mongodb版本:3.0.4 和其他所有数据库一样,权限的管理都差不多一样。mongodb存储所有的用户信息在admin 数据库的集合system.users中,保存用户名、密码和数据库信息。mongodb默认不启用授权认证,只要能连接到该服务器,就可连接到mongod。若要启用安全认证,需要更改配置文件参数auth。 以下测试理解 查看数据库:
MongoDB 查看所有用户账号信息
热门推荐
独一无二的小个性
11-10 9万+
查看全局所有账户 查看当前库下的账户 在 MongoDB 中创建了很多帐号,怎么查看所有帐号信息?查看全局所有账户 :> use admin switched to db admin > db.auth('admin','123456') 1 > db.system.users.find().pretty() { "_id" : "admin.root", "user" : "
MongoDB认证与授权(表、用户、角色)
qq_43783527的博客
05-28 4063
目录 前言 一、服务端auth认证与客户端auth验证 1、服务端开启auth认证的方式 2、客户端进行auth验证的方式 二、管理所有数据库角色与管理指定数据库角色 1、mongdb内置了哪些角色 2、用户角色创建案例 1.管理员 - root角色权限 2.普通用户 3、用户CURD操作 1.创建用户 2.查询用户 3.删除用户 4.修改密码 前言 1、生产环境,不建议MongDB开启auth认证。 联想自己公司,确实在登录mongdb的时候不需要用户名和密码。
浅析MongoDB用户管理
09-10
mongodb在2.4最新版本中对用户权限管理做了全新的调整,把权限细化了,增强了安全性,越来越像mysql的权限管理了。废话少说,我们来详细看下吧
基于Spring Cloud+Mysql+Redis+Mongodb+MybatisPlus+Vue的物联网平台.rar
最新发布
10-24
驱动层:用于提供标准或者私有协议连接物理设备的 `SDK`,负责南向设备的数据采集和指令控制,基于 `SDK` 可实现驱动的快速开发;...完善性:设备快速接入、注册、权限校验; 安全:数据加密传输; 多租户
http4s-pac4j:http4s的安全性
05-23
http4s-pac4j项目是一个用于http4s Web应用程序和Web服务的简单而强大的安全性库,它支持身份验证和授权,还支持注销和会话固定和CSRF保护等高级功能。 它基于Http4s 0.21和v3 。 该库是针对Scala 2.12和2.13交叉...
jax-rs-pac4j:用于JAX-RS和Jersey的安全性
01-28
jax-rs-pac4j项目是用于JAX-RS Web应用程序和Web服务的简单而强大的安全性库,它支持身份验证和授权,还具有注销和会话固定和CSRF保护等高级功能。 它基于Java 8,Servlet 3(如果有),JAX-RS 2和v4 。 它在Apache ...
mongoDB授权
xqhys的博客
08-16 664
角色授权分两种,一种是直接在当前库中创建用户并授予相关权限。如admin库中创建admin用户。另一种情况是 将在admin中创建的用户授予操作其他库的权限,相关授权命令如下: 授予角色: db.grantRolesToUser("userName", [ { role:"<role>", db: "<database>"} ]) 取消角色: db.grantRolesToUser("userName", [ { role:"<role>", db:"&l
二、Linux Mongodb 用户权限管理
Bertram的博客
09-02 1174
一、MongoDB用户角色及相关命令 1、理解 admin 数据库 安装 MongoDB 时,会自动创建 admin 数据库,这是一个特殊数据库,提供了普通数据库没有的功能。 有些用户角色赋予用户操作多个数据库的权限,而这些角色只能在 admin 数据库中创建,要创建有权操作所有数据库的超级用户,必须将该用户加入到 admin 数据库中。检查凭证时,MongoDB 将在指定数据库和 admin 数据库中检查用户账户。 2、内建的角色 数据库用户角色:read、readWrite; 数据库管理.
解析grant connect, resource to user语句
bisal的专栏
06-17 5万+
今天同事问了一个问题:“创建用户分配的权限是:grant connect,resource to user;,但是建立view的时候失败了,错误是权限不够,后来我给这个用户分配了创建view的权限,然后创建view才可以成功。我有个疑问就是为什么用户在自己的空间没办法直接建立view,还得增加创建view的权限才可以?” 我们知道,创建一个新用户时,网上各种的帖子包括书籍中经常用到一个g
mongodb 用户权限管理
Hu_wen的专栏
03-31 560
角色说明 1.数据库用户角色:read、readWrite; 2.数据库管理角色:dbAdmin、dbOwner、userAdmin; 3.集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager; 4.备份恢复角色:backup、restore 5.所有数据库角色:readAnyDatabase、readWriteAny...
Mongodb 用户权限管理及配置
weixin_34272308的博客
08-01 593
一、Mongodb命令 理解 admin 数据库 安装 MongoDB 时,会自动创建 admin 数据库,这是一个特殊数据库,提供了普通数据库没有的功能。 有些用户角色赋予用户操作多个数据库的权限,而这些角色只能在 admin 数据库中创建,要创建有权操作所有数据库的超级用户,必须将该用户加入到 admin 数据库中。检查凭证时,MongoDB 将在指定数据库和 admin 数据库中检查用户账户...
mongodb权限管理——用户的增删改查和内置角色说明
星坠竹空
10-18 5717
mongodb版本:3.2.4 1.先尝试创建root用户:root用户拥有最高权限,可以进行任何操作 use admin db.createUser({'user':'root', 'pwd':'root', 'roles':[{'role':'root', 'db':'admin'}]}) 发现不可以,说明不登录是不能创建root用户的。但可以创建userAdminAnyDatabase角色...
MongoDB安全认证
rzpy_qifengxiaoyue的博客
10-11 659
文章目录1. 安全认证概述2. 用户相关操作2.1 切换到admin数据库对用户的添加2.2 修改密码2.3 用户添加角色2.4 以auth方式启动mongod2.5 验证用户2.6 删除用户3. 角色3.1 数据库内置的角色3.2 各个类型用户对应的角色4. 单机安全认证实现流程4.1 创建管理员4.2 创建普通用户4.3 MongoDB 安全认证方式启动4.4 以普通用户登录验证权限4.5 以管理员登录验证权限5. 分片集群安全认证5.1 开启安全认证之前进入路由创建管理员和普通用户5.2 关闭所有的配
MongoDB入门学习 用户权限管理
qq_37113604的博客
02-21 321
什么是mongoDB? MongoDB是一个基于分布式文件存储的数据库。由c++编写,目的是为WEB应用提供可扩展的高性能数据存储方案。 MongoDB是一个介于关系数据库与非关系数据库之间的产品,是非关系型数据库当中功能最丰富,最像关系数据库的。 回顾一下关系型数据库的ACID规则: A(Atomicity)原子性: 原子性就是说事务里的操作要么全部做完,要么都不做,事务成功的条件是事...
mongodb用户权限管理配置
山鬼谣的专栏
12-25 3万+
环境mongodb 3.4 window7MongoDB常用命令[root@snails ~]# ps -ef|grep mongod [root@snails ~]# mongo --host=127.0.0.1 --port=27017 MongoDB shell version: 3.2.7 connecting to: 127.0.0.1:27017/test> show dbs #显示
mongodb安全版本
07-28
MongoDB的安全版本是指...请注意,以上仅列举了一些主要的安全功能和版本,MongoDB在每个版本中都会对安全性进行改进和增强。建议使用最新版本的MongoDB,并根据具体需求配置和使用相关的安全功能来保护数据库的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值