MongoDB (五):安全浅析

最新推荐文章于 2024-03-22 17:21:20 发布
最新推荐文章于 2024-03-22 17:21:20 发布
阅读量512 收藏
点赞数
分类专栏: mongodb 文章标签: mongodb 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32923745/article/details/78352301
版权

MongoDB 安全浅析

MongoDB副本集默认会创建local、admin数据库,local数据库主要存储副本集的元数据,admin数据库则主要存储MongoDB的用户、角色等信息

当Mongod启用auth选项时,用户需要创建数据库帐号,访问时根据帐号信息来鉴权,而数据库帐号信息就存储在admin数据库下

一、角色

1、数据库用户角色

(a)、read
  • 提供对所有读取数据的权限
(b)、readWrite
  • 提供read角色的所有权限以及修改所有非系统集合的权限

2、数据库管理角色

(a)、dbAdmin

提供执行管理任务的能力,如模式相关任务,索引,收集统计信息。此角色不授予用户和角色管理权限。
对非系统集合提供了一下操作:
+ bypassDocumentValidation
+ collMod
+ collStats
+ compact
+ convertToCapped
+ createCollection
+ createIndex
+ dbStats
+ dropCollection
+ dropDatabase
+ dropIndex
+ enableProfiler
+ reIndex
+ renameCollectionSameDB
+ repairDatabase
+ storageDetails
+ validate

(b)、dbOwner
  • 数据库所有者可以对数据库执行任何管理操作
(c)、userAdmin
  • 提供创建和修改数据库角色和用户的功能。在数据库上具有此角色的用户可以为该数据库的任何用户(包括其自身)分配任何角色或特权

3、集群角色

(a)、clusterAdmin
  • 提供最大的集群管理访问
(b)、clusterManager
  • 在集群上提供管理和监控动作。具有该角色的用户可以访问config和local 数据库,其在分片和复制所使用的
(c)、clusterMonitor
  • 提供对监控工具的只读访问权限
(d)、hostManager
  • 提供监控和管理服务器的能力

4、备份角色

(a)、backup
  • 提供备份数据所需的权限
(b)、restore
  • 提供在mongorestore没有--oplogReplay选项或没有system.profile收集数据的情况下恢复数据所需的权限

5、全数据库角色

版本V3.4更改

角色介绍说明
readAnyDatabase提供相同的只读权限read,除了它适用 于群集中的所有其他数据库local和config数据库。该角色还为listDatabases整个群集提供了 行动。有关角色授予的特定权限,请参阅 readAnyDatabase。在3.4版中更改:3.4之前,readAnyDatabase包含local 和config数据库。要为数据库提供read权限,请在local数据库中使用admin 数据库中的read角色创建一个用户local 。另请参阅clusterManager访问config和local数据库的角色。
readWriteAnyDatabase提供相同的读取和写入权限 readWrite,除了它适用于群集中的所有其他 数据库local和config数据库。该角色还为listDatabases整个群集提供了行动。有关角色授予的特定权限,请参阅 readWriteAnyDatabase。在3.4版中更改:3.4之前,readWriteAnyDatabase包含 local和config数据库。要为数据库提供readWrite 权限,请在local数据库中使用admin数据库中的readWrite角色 创建一个用户 local。
userAdminAnyDatabase提供与用户管理操作相同的访问权限 userAdmin,除了适用于群集中的所有其他 数据库local和config数据库。由于该userAdminAnyDatabase角色允许用户向任何用户(包括其自身)授予任何权限,该角色也间接提供超级用户访问权限。有关角色授予的特定权限,请参阅 userAdminAnyDatabase。在3.4版中更改:3.4之前,userAdminAnyDatabase包含 local和config数据库。
dbAdminAnyDatabase提供与数据库管理操作相同的访问权限dbAdmin,除了适用于群集中的所有其他 数据库local和config数据库。该角色还为listDatabases整个群集提供了行动。有关角色授予的特定权限,请参阅 dbAdminAnyDatabase。在3.4版中更改:3.4之前,dbAdminAnyDatabase包含 local和config数据库。要为数据库提供dbAdmin 权限,请在local数据库中使用admin数据库中的dbAdmin角色 创建一个用户 local。另请参阅clusterManager访问config和local数据库的角色。

二、创建自定义角色

1、语法:db.createRole(role, writeConcern)

参数类型描述
roledocument包含角色名称和角色定义的文档。
writeConcerndocument可选的。写入的程度适用于此操作。该writeConcern文档使用与getLastError命令相同的字段。

2、role 格式如下:

{
  role: "<name>",
  privileges: [
     { resource: { <resource> }, actions: [ "<action>", ... ] },
     ...
  ],
  roles: [
     { role: "<role>", db: "<database>" } | "<role>",
      ...
  ]
}
参数类型描述
roleString新角色的名称。
privilegesarray授予角色的权限。有关语法,请参阅 privileges数组。您必须包括该privileges字段。使用空数组来指定没有权限。
rolesarray这个角色继承权限的角色数组。您必须包括该roles字段。使用空数组来指定 不继承的角色。

3、栗子

use admin
db.createRole(
   {
     role: "myClusterwideAdmin",
     privileges: [
       { resource: { cluster: true }, actions: [ "addShard" ] },
       { resource: { db: "config", collection: "" }, actions: [ "find", "update", "insert", "remove" ] },
       { resource: { db: "users", collection: "usersCollection" }, actions: [ "update", "insert", "remove" ] },
       { resource: { db: "", collection: "" }, actions: [ "find" ] }
     ],
     roles: [
       { role: "read", db: "admin" }
     ]
   },
   { w: "majority" , wtimeout: 5000 }
)

三、创建用户

1、语法:db.createUser(user, writeConcern)

2、user 参数的格式:

{ user: "<name>",
  pwd: "<cleartext password>",
  customData: { <any information> },
  roles: [
    { role: "<role>", db: "<database>" } | "<role>",
    ...
  ]
}

3、栗子

use admin
db.createUser( { user: "accountAdmin01",
                 pwd: "changeMe",
                 customData: { employeeId: 12345 ,desc:"这里是可以写备注的"},
                 roles: [ { role: "clusterAdmin", db: "admin" },
                          { role: "readAnyDatabase", db: "admin" },
                          "readWrite"] },
               { w: "majority" , wtimeout: 5000 } )

四、开启权限认证

第一种方法:在配置文件添加
auth = true

第二种方法:在启动的时候 加 参数: --auth

mongod --auth --port 27017 --dbpath /data/db1

当开启认证时,进入要认证才能执行相关操作

use admin
db.auth("username","password")

五、修改用户权限

一、db.grantRolesToUser(username, roles, writeConcern)

这种是以追加的方式给用户添加权限
db.grantRolesToUser(
   "testUser",
   [{ role: "readWrite", db: "stock" }]
)

上面的意思是给testUser用户添加stock数据库的读写权限

二、db.updateUser(username, update, writeConcern)

这种方式是替换账号的原有的角色
db.updateUser( "appClient01",
               {
                 customData : { employeeId : "0x3039" },
                 roles : [
                           { role : "read", db : "assets"  }
                         ]
                }
             )

这种方式其实和创建的时候差不多,就稍稍有点不同

六、一些常用的方法

1、删除用户

# 第二个参数可选,
db.dropUser(username,writeConcern)

# V2.6以后已弃用
# db.removeUser(username)

2、修改用户密码

db.changeUserPassword(username, password)

3、删除角色

db.dropRole(rolename,writeConcern )

参考文献:https://docs.mongodb.com/manual/security/

胖不了小陆
关注
专栏目录
mongodb浅析性能&应用场景-1
xwygn的专栏
08-10 1万+
笔者经验尚浅,对于NOSql也也是2014年
MongoDB数据库存储引擎浅析
qq_29039705的博客
03-17 1195
存储引擎是一个数据库的组成部分,它控制着数据在内存和磁盘中如何存取。在项目开发中,为数据库选择一个好的、适合的存储引擎并深入了解该存储引擎的运作和利弊,对于每个开发者来说也很重要。MongoDB作为时下很流行的一款NoSQL数据库,它也支持了很多种存储引擎,下面简单分析一下它们的特点。 一、MMAPv1 MMAPv1是MongoDB 3.0.0版本之前的默认存储引擎,它是基于内存映射文件存储的...
MongoDB安全性,性能分析,索引编制,游标和批量操作指南
danpu0978的博客
04-24 282
本文是我们学院课程中名为MongoDB –可扩展NoSQL DB的一部分 。 在本课程中,您将被介绍到MongoDB。 您将学习如何安装它以及如何通过它的外壳进行操作。 此外,您还将学习如何通过Java以编程方式访问它以及如何将Map Reduce与其一起使用。 最后,将解释更高级的概念,例如分片和复制。 在这里查看 ! 目录 1.简介 2.安全性 2.1。 其他资...
MongoDB5安装部署和使用介绍
wt334502157的博客
02-22 1165
storage:fork: trueadmin登录切换数据库注意: use 代表创建并使用,当库中没有数据时默认不显示这个库删除数据库查看表清单> show tables # 或者 > show collections表创建db.createCollection('集合名称', [options])table1字段类型描述capped布尔(可选)如果为 true,则创建固定集合。固定集合是指有着固定大小的集合,当达到最大值时,它会自动覆盖最早的文档。
MongoDB用户权限操作
雅冰石的专栏
06-26 4907
#Mongodb版本:3.0.4 和其他所有数据库一样,权限的管理都差不多一样。mongodb存储所有的用户信息在admin 数据库的集合system.users中,保存用户名、密码和数据库信息。mongodb默认不启用授权认证,只要能连接到该服务器,就可连接到mongod。若要启用安全认证,需要更改配置文件参数auth。 以下测试理解 查看数据库
mongodb 用户权限管理
Hu_wen的专栏
03-31 623
角色说明 1.数据库用户角色:read、readWrite; 2.数据库管理角色:dbAdmin、dbOwner、userAdmin; 3.集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager; 4.备份恢复角色:backup、restore 5.所有数据库角色:readAnyDatabase、readWriteAny...
浅析MongoDB用户管理
09-10
MongoDB 是一个流行的开源文档数据库系统,它以其灵活性、高性能和易于扩展性而受到广泛欢迎。在 MongoDB 的用户管理方面,尤其是在2.4版本之后,权限管理系统得到了显著的增强,更加精细化,提供了类似于传统关系型...
raft协议以及MongoDB副本集协议的实现浅析
crudMaker的博客
03-16 964
本文先对raft协议进行通俗的讲解,然后基于MongoDB 4.4.2 源码版本分析了MongoDB副本集协议的主要实现流程,最后指出raft核心算法在MongoDB副本集协议源码中的体现。 raft协议 提出问题 在我们的生活中,很多大型基础设施例如银行系统、医疗系统、电商系统都需要提供24小时不间断服务。但在现实生活中总会遇到各种各样的问题。例如,放置服务器的地方发生了地震。为了避免这一类问题,我们能想到的一个办法就是为服务提供多个副本,然后在不同的地方放置这些副本,一但服务发生了问题,另外的
MongoDB黑客事件浅析
02-24 2165
MongoDB黑客事件浅析 前几个月发生了一件大事,真是惊为天人啊,多个公司的mongoDB被黑了,黑客删除了数据库中的数据并在数据库中留下勒索信息索要比特币,说是给了钱才肯恢复数据,据说所有被删的数据居然超过了100TB,数据库安全问题不容忽视啊。 个人感觉如果这件事如果发生了,不要盲目地直接去打钱给黑客,他说给钱就还原就真还原啊!!!别再次被坑了,先尝试使用其他手段尝试进行数据恢复,如备份
浅析玉门油田网络安全的预防措施.pdf
09-20
文件内容还提到了信息化建设的重要性,包括集群技术的应用、数据存储与处理能力的扩展,以及MongoDB数据库的使用和C#语言对MongoDB数据库进行增删改查的操作方法。 以上知识点涵盖了从技术部署到员工培训的全方位...
mongodb之权限管理——用户的增删改查和内置角色说明
星坠竹空
10-18 5959
mongodb版本:3.2.4 1.先尝试创建root用户:root用户拥有最高权限,可以进行任何操作 use admin db.createUser({'user':'root', 'pwd':'root', 'roles':[{'role':'root', 'db':'admin'}]}) 发现不可以,说明不登录是不能创建root用户的。但可以创建userAdminAnyDatabase角色...
ELK搭建(十一):搭建MongoDB运行情况监控平台
55555的博客
05-30 967
0. 引言 mongoDB作为基于磁盘的非关系型数据库,JSON格式数据存储方式,具有优秀的查询效率。越来越多的场景使用到了MongoDB。在生产运维中,更需要我们能够实时的掌握mongo的运行情况,以方便我们数据库运行问题做出及时的调整和补救。 今天我们就MongoDB运行的实时情况,来搭建一个数据监控平台 1. 下载 我们的平台是基于elasticsearch+kibana来实现的,也就是我们常说的ELK体系。我们采用Metricbeat插件来采集监控redis的运行数据。 当然我们这里为了保证搭建的
Mongo基本命令
最新发布
weixin_44318637的博客
03-22 3150
启动MongoDB后,打开一个命令行窗口输入mongo,就可以进行Mongo数据库的一些操作。输入help可以看到基本操作命令:show dbs:显示数据库列表show collections:显示当前数据库中的集合(类似关系数据库中的表)show users:显示用户use :切换当前数据库,这和MS-SQL里面的意思一样db.help():显示数据库操作命令,里面有很多的命令。
MongoDB3.x创建用户与用户角色
实际工作与学习当中的随记
08-04 411
例如:在admin数据库创建用户accountAdmin01,并给该用户admin数据库上clusterAdmin和readAnyDatabase的角色,products数据库上readWrite角色。注:MongoDB安装好以后由默认的admin表和local表;其中admin存放的是用户信息。创建一个数据库新用户用db.createUser()方法,如果用户存在则返回一个用户重复错误。用户在./mongo后登陆。roles 用户角色。...
mongo 系统权限问题
wll的专栏
05-18 7602
今天给研发,创建测试库,分配相关权限 ,发现一些小问题如果下: 1、 use testdb mongos> db.createUser( ...   { ...     user: "testdb", ...     pwd: "testdb", ...     roles: [ { role: "readWrite", db: "testdb" } ] ...   } ...
ip地址配置 mongodb_MongoDB接入PMM监控之初探
weixin_32392989的博客
12-05 274
很早就听说过PMM,Percona开发的一套对MongoDB, MySQL, Postgres建立监控系统的套件。曾经也抽空想试用下,但由于使用上的各种毛病,以及文档欠缺,没成过。最近在Mongo中文社区里听群友谈到已经有PMM2了,迫不及待地搭建一把,看看什么样子,毕竟网络上详细谈PMM搭建的貌似不多,此文抛砖引玉。PMMPMM是什么呢?简单说这是Percona开发的用来监控mysql,post...
MongoDB搭建环境
ls_ange的博客
10-29 285
MongoDB搭建环境 安装 windows安装 下载安装 下载地址 创建数据目录 MongoDB将数据目录存储在 db 目录下。但是这个数据目录不会主动创建,我 们在安装完成后需要创建它。请注意,数据目录应该放在根目录下( (如: C:\ 或者 D: \ 等 )。 c:\data\db 启动服务器 C:\mongodb\bin\mongod --dbpat...
mongoDBmongoDB 用户创建、授权、删除和修改密码
michaelwoshi的博客
09-09 2223
mongoDB 用户创建、授权、删除和修改密码
mongodb 监控工具 mongo-monitor 安装部署
无锋剑
12-04 973
mongo 集群监控工具 mongo-monitor 安装部署 调试mongodb 集群期间发现一个小神器,不敢独享!相关介绍如下:mongo-monitor CLI是一个简洁和简单的工具来检查MongoDB的服务,在集群调试升级期间,故障排查,添加节点,调整分片、修改配置等操作时可以实时查看整个集群状态,全方位了解集群状态,自动秒级刷新状态。 显示效果预览: Shard: shard1 ...
MongoDB入门:增删改操作详解与安全实践
它基于权威指南《MongoDB: The Definitive Guide》进行讲解,适合MongoDB初学者快速入门。 MongoDB是一种流行的NoSQL数据库,以其灵活性和高性能著称。在学习中,作者强调了文档结构中的关键概念,如自动为未指定_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值