Mongodb 集群replicat set 安全加固--开启auth认证,修改默认端口

最新推荐文章于 2022-07-26 11:47:05 发布
最新推荐文章于 2022-07-26 11:47:05 发布
阅读量1k 收藏 1
点赞数
分类专栏: Mongodb 文章标签: mongodb auth 端口 加固 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/royzhang7/article/details/100077007
版权

关联文章:

Mongodb 集群replicat set 搭建:

https://blog.csdn.net/royzhang7/article/details/100076335

MongoDB数据库作为一款应用越来越广的数据库产品,使用简单,部署方便,

但是也存在部分安全隐患,主要有以下两点:

1、mongodb默认不开启auth认证模式,导致所有数据库用户都拥有最高权限

2、mongodb默认27017端口,容易遭受定向攻击

 

所以,此次安全加固会针对这两点进行优化:

1、开启mongodb的auth认证模式

2、修改mongodb默认端口号

 

具体操作:(replica set模式)
#先备份数据库
./mongodump --host=192.168.1.2 --port=27017 -d test  -o /mongodb/bak

#确认replicat set状态

./mongo 192.168.1.2:27017
db.serverStatus()

#登陆master节点
#创建管理用户
   ./mongo 192.168.1.2:27017
   use admin                
   db.createUser(
    {
      user: "admin",
      pwd: "admin321",
     roles: [ { role: "root", db: "admin" } ]
   }
   )
  

#登陆slave节点查看用户同步是否ok
./mongo 192.168.1.3:27017
rs.slaveOk()
use admin
db.system.users.find()  --已同步

#首先修改IP
#登陆关闭mongodb(主节点192.168.1.2),主节点切换到备节点
./mongod --shutdown --dbpath /mongodb/data/master

#修修改关闭节点的配置文件mongodb_master.conf ,然后启动节点
port=28123

./mongod -f /mongodb/mongodb_master.conf 


#在主节点重新配置rs信息,注意修改priority
cfg={ _id:"mongodb", members:[ {_id:0,host:'192.168.1.2:28123',priority:1}, {_id:1,host:'192.168.1.3:27017',priority:2},   
{_id:2,host:'1192.168.1.3:27019',arbiterOnly:true}] };  

rs.reconfig(cfg)


rs.status() 
查看节点状态。


#关闭当前主节点(192.168.1.3),主节点切换到备节点
./mongod --shutdown --dbpath /mongodb/data/slaver

#修改关闭节点的配置文件mongodb_slaver.conf ,然后启动节点
port=28321

./mongod -f /mongodb/mongodb_slaver.conf 

#在当前主节点重新配置rs信息,注意修改priority
cfg={ _id:"mongodb", members:[ {_id:0,host:'192.168.1.2:28123',priority:2}, {_id:1,host:'192.168.1.3:28321',priority:1},   
{_id:2,host:'192.168.1.2:27019',arbiterOnly:true}] }; 

rs.reconfig(cfg)


rs.status() 
查看节点状态。

#关闭arbiter节点
./mongod --shutdown --dbpath /mongodb/data/arbiter


--修改关闭节点的配置文件mongodb_arbiter.conf,然后启动节点
port=28333

./mongod -f /mongodb/mongodb_arbiter.conf

--在当前主节点重新配置rs信息,注意修改priority
cfg={ _id:"mongodb", members:[ {_id:0,host:'192.168.1.2:28123',priority:2}, {_id:1,host:'192.168.1.3:28321',priority:1},   
{_id:2,host:'192.168.1.3::28333',arbiterOnly:true}] };   

rs.reconfig(cfg)


rs.status() 
查看节点状态。

 

#然后开启auth认证模式

#在主节点生成keyfile文件(192.168.1.2)
openssl rand -base64 90 > /mongodb/keyfileprod
chmod 600 /mongodb/keyfileprod

#传到备节点(192.168.1.3)
scp /mongodb/keyfileprod  root@192.168.1.3:/mongodb/keyfileprod
chmod 600 /mongodb/keyfileprod

#修改auth 模式
#关闭三个节点,顺序PAS(主、投票、备)
#192.168.1.2
./mongod --shutdown --dbpath /mongodb/data/master

#192.168.1.3
./mongod --shutdown --dbpath /mongodb/data/arbiter

./mongod --shutdown --dbpath /mongodb/data/slaver

#修改三个config文件,添加auth参数和keyfile参数
#192.168.1.2

auth=true
keyFile=/mongodb/keyfileprod

#192.168.1.3
auth=true
keyFile=/mongodb/keyfileprod

#重启三个节点,顺序PSA(主、备、投票)
#192.168.1.2
./mongod -f /mongodb/mongodb_master.conf 

#192.168.1.3
./mongod -f /mongodb/mongodb_slaver.conf 
./mongod -f /mongodb/mongodb_arbiter.conf   

#登陆主备节点查看状态OK

./mongo 192.168.1.2:28123
use admin
db.auth("admin","admin321")
rs.status() 

./mongo 192.168.1.3:28321
use admin
db.auth("admin","admin321")
rs.status() 

#测试同步

 

大头愚愚
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mongodb副本集加分片集群安全认证使用账号密码登录
08-23
mongodb副本集加分片集群安全认证使用账号密码登录
MongoDB集群部署&开启身份认证
csdn710924032的博客
06-16 3201
MongoDB支持分布式部署,分布式部署的各节点可配置keyFile认证MongoDB支持登陆用户身份认证,通过用户的角色设置分配操作权限。当然,默认情况下是不开启身份认证的,集群中各节点也是不进行keyFile认证的,需要增加一些配置以开启,提高安全级别。默认的部署方式在使用上很简单,但是在生产环境中有很大的安全隐患。 经过简单学习和演练,提前准备好部署程序和文件来使用。 准备 从...
mongodb开启用户身份认证集群部署
WenCoo的博客
07-04 857
密钥文件方式 单节点集群开启用户认证步骤: 先部署好单节点集群,确认单节点部署一切正常 连接数据库,创建root用户(超级用户) 这一步已经在安装单节点的时候做过了 :db.createUser( { "user" : "admin","pwd": "admin","roles" : [ { role: "dbOwner", db: "adbox" },{ role: "dbOwner", db: "fbbox" },{ role: "root", db: "admin" }] }) 修改配置文件,
云主机上的MongoDB被威胁,开启AUTH认证
蓝小白的博客
07-26 2635
开启mongodb权限认证,登录访问,pymongo认证连接
Mongodb副本集集群搭建+用户认证(详细步骤)
weixin_45318866的博客
11-17 3374
各位biu贝~~~初次见面,请多指教! 好的,进入正题。。。。 先到官网下载安装压缩包 https://www.mongodb.com/try/download/enterprise 这里选择目前的最新企业版本-5.0.4(就要用最新的,任性) 将压缩包上传至服务器制定目录下 ...
基于Java的MongoDB集群管理工具设计源码 - mongod
最新发布
05-29
本源码提供了一个基于Java编写的MongoDB集群管理工具的设计。项目包含39个文件,其中包括26个Java文件、3个Properties文件、2个Markdown文档、2个PDF文件,以及用于版本控制和配置的文件。该工具旨在为MongoDB集群...
基于Spring Boot 2.0的MongoDB集群网页管理工具源码 - WeAdmin版
03-25
项目名称:WeAdmin版MongoDB集群网页管理工具(基于Spring Boot 2.0) 技术栈:主要采用Java语言,辅以JavaScript、CSS和HTML。 文件构成:总计158个文件,包括: - GIF动画:75个,用于界面交互提示和演示。 - ...
MongoDB数据安全和保护--配置和策略(一)
03-03
本文假定您安装了InfoSphereGuardium收集器并在...从数据安全的角度讲,建议您升级到MongoDB2.4或更高版本,因为这些版本可提供简介中所述的安全增强功能。(Kerberos要求使用企业版。)记录以下信息,您需要使用这些信
MongoDB Community(mongodb-linux-aarch64-ubuntu1804-5.0.8.tgz)
05-28
MongoDB Community Server(mongodb-linux-aarch64-ubuntu1804-5.0.8.tgz)适用于Ubuntu 18.04 Arm芯片, MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决...
CentOS6.8部署MongoDB集群及支持auth认证
weixin_30843605的博客
09-11 91
三个节点的副本集如下图所示: 实验目的:   配置MongoDB的3节点副本集   3个节点的副本集都要开启auth认证,并且开启认证后,能互相通信 第一步 - 准备环境 准备三个虚拟机,其中一个用作Primary,另外两个用作Secondary。如上图展示的那样 虚拟机信息如下: Primary:172.xx.xx.107 ...
MongoDB修改Replica Set的服务器名和端口
daronaldo1986的博客
05-31 494
---恢复内容开始--- 也是闲的蛋疼,本来用27017/27018/27019三个端口启动了Replica Set,可是回头一想,这个和默认端口重了,还是改成别的吧。于是想改成40001/40002/40003,折腾一圈发现还是得看官方文档,就顺便在这里做个记录吧 先祭出官方链接 https://docs.mongodb.com/manual/tutorial/change-ho...
Mongodb -分片集群搭建-安全认证
小城我家
09-29 642
下载 https://www.mongodb.com/ 节点关系 | 192.168.181.138| 192.168.181.139| 192.168.181.137|192.168.180.132| |–|--|–| | mongos 27017 | mongos 27017 | mongos 27017 || | 配置17017节点| 分片shard1节点37017 | 分片shard2节点47017 |分片shard3节点57017| | 配置17087节点| 分片shard1节点370
MongoDB Replica Set 搭建与密码设置
VitaminZH的博客
04-18 1813
1.mongoDB安装 https://docs.mongodb.com/manual/tutorial/install-mongodb-on-red-hat/ 服务器 IP 端口 server1 192.168.3.131 27017 server2 192.168.3.132 27017 server3 192.168.3.133 27017 2.mongoDB...
MongoDB集群(Replication Set)介绍与配置
一个憨豆的博客
04-25 577
MongoDB复制集RS 一、什么是MongoDB复制集RS(ReplicationSet) 1.基本原理 1)画图说明 2)文字说明 基本构成是1主2从的结构,自带互相监控投票机制(Raft(MongoDB) Paxos(mysql MGR 用的是变种)) 如果发生主库宕机,复制集内部会进行投票选举,选择一个新的主库替代原有主库对外提供服务。同时复制集会自动通知 客户端程序,主库已经发生切换了。应用就会连接到新的主库。 自带高可用,自动监控,自动切换,自动选主 二、主从复制Replication
MongoDB的安全认证详解
huangjhai的博客
07-25 6963
默认情况下,MongoDB实例启动运行时是没有启用用户访问权限控制的,在实例本机服务器上都可以随意连接到实例进行各种操作,MongoDB不会对连接客户端的请求进行用户验证,这是非常危险的。
MongoDB高可用架构 集群权限控制
冯毅
03-23 8893
高可用架构图   MongoDB高可用架构的搭建 分片存储服务器规划 每个分片3服务器,前期采用三台,日后服务器的增加考虑灾备,服务增加的基数最少为两台。   类型 服务器 用途 系统 说明 存储/数据 Server1 Shard1/Shard2/Shard3 Linux 6
mongodump 时用户名和密码都对,但是提示Authentication failed
u010980938的专栏
04-29 5233
权限不足,需要增加--authenticationDatabase admin 样例:mongodump --host 127.0.0.1 --port 27017 --username 'root' -p '123456' --authenticationDatabase admin -d user -c user_address--out user_address.bak ...
Docker构建mongodb ReplaceSet 并添加AUTH
任昌伟
10-02 805
一、构建mongodb replaceSet镜像 mongoDB 4.2 版本以后,使用keyfile存取控制部署复制集 Dockerfile: FROM mongo:4.2 # Generate keyfile RUN mkdir -p /home \ && openssl rand -base64 756 > /home/replica-set.key # Modify keyfile permissions RUN chown mongodb:mongodb
mongodb 副本集Replica Set的keyfile验证
u013867292的博客
03-04 1586
      部署好mongodb(Replica Set模式)后,需要为应用程序创建数据库以及登录用户,我们知道,需要在启动配置文件中加入auth=true,但是此时登录主节点会失败(实际登录的是OTHER节点),主要原因是只采用了auth验证,未添加keyFile的验证。1.    查看官方文档Youcan authenticate members of replica sets and sha...
./mongod --auth --bind_ip=0.0.0.0 --dbpath=db --logpath=mongodb.log --quiet --port 20001 --wiredTigerCacheSizeGB 1 --fork 各标签含义
11-09
mongod --auth --bind_ip=0.0.0.0 --dbpath=db --logpath=mongodb.log --quiet --port 20001 --wiredTigerCacheSizeGB 1 --fork是MongoDB启动命令,各标签含义如下: --auth:启用身份验证。 --bind_ip=0.0.0.0:绑定IP地址,0.0.0.0表示绑定所有可用的IP地址。 --dbpath=db:指定数据库文件存储路径。 --logpath=mongodb.log:指定日志文件存储路径。 --quiet:安静模式,不输出任何日志信息到控制台。 --port 20001:指定MongoDB监听的端口号为20001。 --wiredTigerCacheSizeGB 1:指定WiredTiger存储引擎使用的缓存大小为1GB。 --fork:以守护进程方式运行MongoDB

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值