MongoDB安全认证

最新推荐文章于 2023-05-26 10:16:00 发布
最新推荐文章于 2023-05-26 10:16:00 发布
阅读量669 收藏 3
点赞数 1
分类专栏: Mongodb 文章标签: mongodb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rzpy_qifengxiaoyue/article/details/109009798
版权

文章目录

1. 安全认证概述

MongoDB 默认是没有账号的,可以直接连接,无须身份验证。实际项目中肯定是要权限验证的,否则 后果不堪设想。从2016年开始 发生了多起MongoDB黑客赎金事件,大部分MongoDB安全问题 暴露出 了安全问题的短板其实是用户,首先用户对于数据库的安全不重视,其次用户在使用过程中可能没有养 成定期备份的好习惯,最后是企业可能缺乏有经验和技术的专业人员。所以对MongoDB进行安全认证 是必须要做的。

2. 用户相关操作

2.1 切换到admin数据库对用户的添加

use admin;
db.createUser(userDocument):用于创建 MongoDB 登录用户以及分配权限的方法

db.createUser( 
	{
		user: "账号",
		pwd: "密码",
		roles: [
		{ role: "角色", db: "安全认证的数据库" }, 
		{ role: "角色", db: "安全认证的数据库" }
		]
	} 
)

user:创建的用户名称,如 admin、root 、lagou
pwd:用户登录的密码
roles:为用户分配的角色,不同的角色拥有不同的权限,参数是数组,可以同时设置多个
role:角色,MonngoDB 已经约定好的角色,不同的角色对应不同的权限
db:数据库实例名称,如 MongoDB 4.0.2 默认自带的有 admin、local、config、test 等,即为哪个数据库实例设置用户

db.createUser({
  user:"root",
  pwd:"123456",
  roles:[{role:"root",db:"admin"}]
})
2.2 修改密码
db.changeUserPassword( 'rootNew' );
2.3 用户添加角色
db.grantRolesToUser( '用户名' , [{ role: '角色名' , db: '数据库名'}])
2.4 以auth方式启动mongod
./bin/mongod -f conf/mongo.conf --auth
(也可以在mongo.conf 中添加auth=true 参数)
2.5 验证用户
db.auth("账号","密码")
2.6 删除用户
db.dropUser("用户名")

3. 角色

3.1 数据库内置的角色
read:允许用户读取指定数据库
readWrite:允许用户读写指定数据库 
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问 system.profile 
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户 
clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限 
readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限 
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限 
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限 
dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限 
root:只在admin数据库中可用。超级账号,超级权限 
dbOwner:库拥有者权限,即readWrite、dbAdmin、userAdmin角色的合体
3.2 各个类型用户对应的角色
数据库用户角色:read、readWrite
数据库管理角色:dbAdmin、dbOwner、userAdmin 
集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager 
备份恢复角色:backup、restore; 
所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
超级用户角色:root 
这里还有几个角色间接或直接提供了系统超级用户的访问(dbOwner 、userAdmin、 userAdminAnyDatabase)

4. 单机安全认证实现流程

创建 mydb1 数据库并创建了两个用户,zhangsan 拥有读写权限,lisi 拥有只读权限测试这两个账户的权限。
以超级管理员登录测试权限。

4.1 创建管理员

MongoDB 服务端开启安全检查之前,至少需要有一个管理员账号,admin 数据库中的用户都被视为管理员
如果 admin 库没有任何用户的话,即使在其他数据库中创建了用户,启用身份验证,默认的连接方式依然会有超级权限,即仍然可以不验证账号密码照样能进行 CRUD,安全认证相当于无效。

shard1:PRIMARY> use admin
switched to db admin
shard1:PRIMARY> db.createUser({
...   user:"root",
...   pwd:"123456",
...   roles:[{role:"root",db:"admin"}]
... })
Successfully added user: {
        "user" : "root",
        "roles" : [
                {
                        "role" : "root",
                        "db" : "admin"
                }
        ]
}
shard1:PRIMARY>
4.2 创建普通用户

如下所示 rpp_resume 是自己新建的数据库,没安全认证之前可以随意 CRUD,其余的都是 mongoDB4.0.2 自带的数据库

shard1:PRIMARY> show dbs
admin       0.000GB
config      0.001GB
local       0.001GB
rpp_resume  0.000GB
  • 为 admin 库创建管理员之后,现在来为普通数据库创建普通用户,以 rpp_resume 为例,方式与创建管理员一致,切换到指定数据库进行创建即可。
  • 如下所示,为 rpp_resume 数据库创建了两个用户,zhangsan 拥有读写权限,lisi 拥有只读权限,密码 都是 123456.
shard1:PRIMARY> show dbs
admin       0.000GB
config      0.001GB
local       0.001GB
rpp_resume  0.000GB
shard1:PRIMARY> use rpp_resume
switched to db rpp_resume
shard1:PRIMARY> db
rpp_resume
shard1:PRIMARY> db.createUser({
...   user:"zhangsan",
...   pwd:"123456",
...   roles:[{role:"readWrite",db:"rpp_resume"}]
... })
Successfully added user: {
        "user" : "zhangsan",
        "roles" : [
                {
                        "role" : "readWrite",
                        "db" : "rpp_resume"
                }
        ]
}
shard1:PRIMARY> db.createUser({
...   user:"lisi",
...   pwd:"123456",
...   roles:[{role:"read",db:"rpp_resume"}]
... })
Successfully added user: {
        "user" : "lisi",
        "roles" : [
                {
                        "role" : "read",
                        "db" : "rpp_resume"
                }
        ]
}
shard1:PRIMARY>

接着从客户端关闭 MongoDB 服务端,之后以安全认证方式进行启动

> use admin
switched to db admin
> db.shutdownServer() 
> server should be down...
4.3 MongoDB 安全认证方式启动
./bin/mongod -f conf/mongo.conf --auth
(也可以在mongo.conf 中添加auth=true 参数)
4.4 以普通用户登录验证权限

普通用户现在仍然像以前一样进行登录,如下所示直接登录进入 rpp_resume 数据库中,登录是成功的,只 是登录后日志少了很多东西,而且执行 show dbs 命令,以及 show tables 等命令都是失败的,即使没 有被安全认证的数据库,用户同样操作不了,这都是因为权限不足,一句话:用户只能在自己权限范围 内的数据库中进行操作

[root@rpp mongodb]# ./bin/mongo localhost:37017/rpp_resume
MongoDB shell version v4.2.9
connecting to: mongodb://localhost:37017/rpp_resume?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("2450aa2a-b830-40fb-a568-9b22d205bb3e") }
MongoDB server version: 4.2.9
shard1:SECONDARY> show dbs

如下所示,登录之后必须使用 db.auth(“账号”,“密码”) 方法进行安全认证,认证通过,才能进行权限范 围内的操作

shard1:SECONDARY> db.auth("zhangsan","123456")
1
shard1:SECONDARY> show dbs
2020-10-11T12:13:30.423+0800 E  QUERY    [js] uncaught exception: Error: listDatabases failed:{
        "operationTime" : Timestamp(1602389608, 1),
        "ok" : 0,
        "errmsg" : "not master and slaveOk=false",
        "code" : 13435,
        "codeName" : "NotMasterNoSlaveOk",
        "$gleStats" : {
                "lastOpTime" : Timestamp(0, 0),
                "electionId" : ObjectId("000000000000000000000000")
        },
        "lastCommittedOpTime" : Timestamp(1602389608, 1),
        "$configServerState" : {
                "opTime" : {
                        "ts" : Timestamp(1602389597, 2),
                        "t" : NumberLong(1)
                }
        },
        "$clusterTime" : {
                "clusterTime" : Timestamp(1602389608, 1),
                "signature" : {
                        "hash" : BinData(0,"MxDcKpZdPP+t62G0PiLfmgaSJMk="),
                        "keyId" : NumberLong("6881926690809839647")
                }
        }
} :
_getErrorWithCode@src/mongo/shell/utils.js:25:13
Mongo.prototype.getDBs/<@src/mongo/shell/mongo.js:135:19
Mongo.prototype.getDBs@src/mongo/shell/mongo.js:87:12
shellHelper.show@src/mongo/shell/utils.js:906:13
shellHelper@src/mongo/shell/utils.js:790:15
@(shellhelp2):1:1
shard1:SECONDARY> rs.slaveOk()
shard1:SECONDARY> show dbs
rpp_resume  0.000GB
shard1:SECONDARY>
4.5 以管理员登录验证权限

客户端管理员登录如下所示,管理员 root 登录,安全认证通过后,拥有对所有数据库的所有权限。

[root@rpp mongodb]# ./bin/mongo localhost:37017
MongoDB shell version v4.2.9
connecting to: mongodb://localhost:37017/test?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("7d54c6fa-bb32-450e-874e-03af43ffc375") }
MongoDB server version: 4.2.9
shard1:SECONDARY> use admin
switched to db admin
shard1:SECONDARY> db.auth("root","123456")
1
shard1:SECONDARY> show dbs
admin       0.000GB
config      0.001GB
local       0.001GB
rpp_resume  0.000GB

5. 分片集群安全认证

5.1 开启安全认证之前进入路由创建管理员和普通用户

参考上面的单机安全认证实现流程

5.2 关闭所有的配置节点 分片节点 和 路由节点
安装psmisc
yum install psmisc
安装完之后可以使用killall 命令 快速关闭多个进程 
killall mongod
5.3 生成密钥文件 并修改权限
openssl rand -base64 756 > /data/mongodb/testKeyFile.file 
chmod 600 /data/mongodb/testKeyFile.file
5.4 配置节点集群和分片节点集群开启安全认证和指定密钥文件
auth=true 
keyFile=/data/mongodb/testKeyFile.file
5.5 在路由配置文件中 设置密钥文件
keyFile=data/mongodb/testKeyFile.file
5.6 启动所有的配置节点 分片节点 和 路由节点 使用路由进行权限验证

可以编写一个shell 脚本 批量启动

./bin/mongod -f config/config-17017.conf 
./bin/mongod -f config/config-17018.conf 
./bin/mongod -f config/config-17019.conf 
./bin/mongod -f shard/shard1/shard1-37017.conf 
./bin/mongod -f shard/shard1/shard1-37018.conf 
./bin/mongod -f shard/shard1/shard1-37019.conf 
./bin/mongod -f shard/shard2/shard2-47017.conf 
./bin/mongod -f shard/shard2/shard2-47018.conf 
./bin/mongod -f shard/shard2/shard2-47019.conf 
./bin/mongos -f route/route-27017.conf
5.7 Spring boot 连接安全认证的分片集群
spring.data.mongodb.username=账号 
spring.data.mongodb.password=密码 
spring.data.mongodb.uri=mongodb://账号:密码@IP:端口/数据库名
四月丶丶
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MongoDB安全认证.pdf
07-11
MongoDB安全认证.pdf 学习资料 复习资料 教学资源
mongodb auth
linux运维交流学习
10-12 326
auth 认证,忙活了好久,都不行。 后来不断的试验,总算可以了。问题出在开始启动时就带有--auth 参数,导致后面不能进行认证,因为开始并没有创建认证的用户和密码。以至于好多操作都受限制。解决的办法是,第一次启动mongod时不加--auth参数,然后在admin数据库里创建一个admin 和root用户。然后再启动mongod 加上--auth 参数,再登入mongo时 先验证 db.au...
mysql创建用户并授权用户的权限
二祥的工作历程
12-21 268
# 创建用户 create user 'user'@'%' identified by 'pwd'; # 为用户授权db_name数据库的table1表的select权限 grant SELECT on `db_name`.table1 to 'user'@'%'; # 为用户授权db_name数据库的table2表的select权限 grant SELECT on `db_name`.table2 to 'user'@'%'; # 刷新生效 flush privileges; # 显示用户权限
设置Mongodb在window系统下以auth方式启动
Thinking_calculus的博客
04-30 1183
写在前面 环境:win10家庭版,mongodb:v4.0.9 这里要提下,mongodb大版本升级后安装过程和修改为auth启动的方法都略有不同,下面以截至目前的v4.0.9版本为例,如果是v4以下的版本,请参考mongo3.4.4安装及修改auth登陆,mongodb可以在官网下载:官网下载地址,由于网络原因,安装过程不要勾选install mongoDB compass可以在官网下载...
云主机上的MongoDB被威胁,开启AUTH认证
蓝小白的博客
07-26 2614
开启mongodb权限认证,登录访问,pymongo认证连接
MongoDB认证与授权(表、用户、角色)
qq_43783527的博客
05-28 4110
目录 前言 一、服务端auth认证与客户端auth验证 1、服务端开启auth认证的方式 2、客户端进行auth验证的方式 二、管理所有数据库角色与管理指定数据库角色 1、mongdb内置了哪些角色 2、用户角色创建案例 1.管理员 - root角色权限 2.普通用户 3、用户CURD操作 1.创建用户 2.查询用户 3.删除用户 4.修改密码 前言 1、生产环境,不建议MongDB开启auth认证。 联想自己公司,确实在登录mongdb的时候不需要用户名和密码。
MongoDB安全认证_windows教程
03-24
windows平台上详细介绍MongoDB安全认证的过程,适用于新手
MongoDB安全及身份认证(实例讲解)
12-16
本文将详细介绍MongoDB安全相关的内容 概述 MongoDB安全主要包括以下4个方面 1、物理隔离 系统不论设计的多么完善,在实施过程中,总会存在一些漏洞。如果能够把不安全的使用方与MongoDB数据库做物理上的隔离,即...
MongoDB安全配置详解
12-16
当admin.system.users一个用户都没有时,即使mongod启动时添加了–auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以–auth 参数启动),直到在admin.system.users中添加...
mongodb启用auth,使用密码登录
深海微澜
05-18 8284
1、安装mongodbmongodb安装见:https://blog.csdn.net/qq_35462323/article/details/116710653 2、安装完成之后,启动mongod服务: mongod --dbpath /usr/local/var/mongodb --logpath /usr/local/var/log/mongodb/mongo.log --fork 也可指定配置文件启动。 mongod.conf #数据文件存放目录 dbpath = /usr/loc
mongoDB数据库开启身份认证
Guiyun的博客
05-02 288
由于MongoDB默认是不开启权限认证的,但这样是非常危险的,这时就需要开启mongoDB用户认证 开启mongoDB用户认证步骤 开启安全认证 在启动命令中添加 --auth 如: ./mongod --logpath=/usr/local/mongodb/log/logs --dbpath=/data/db2/ --fork 添加管理员用户 连接mongo实例,添加一个管理员用户,如...
MongoDB安全认证详解
huangjhai的博客
07-25 6738
默认情况下,MongoDB实例启动运行时是没有启用用户访问权限控制的,在实例本机服务器上都可以随意连接到实例进行各种操作,MongoDB不会对连接客户端的请求进行用户验证,这是非常危险的。
mongodb开启认证
仙人Immortal的博客
11-20 1675
mongodb开启认证介绍配置文件重启mongodb认证 介绍 mongodb里的账号是与数据库对应的,非全局,所以要给指定数据库创建账号 首先,在数据库里创建俩账号,一个admin的一个指定数据库的(假设名为test) use admin db.createUser({ user: "root", pwd: "123456", roles: [{ role: "userAdminAnyDatabase", db: "admin" }] }) use test db.createUser({ user: "
Centos7中MongoDB开启auth验证
muwenbofx的博客
05-08 2388
Centos7中MongoDB开启auth验证1.创建管理员用户2.创建普通用户 如果还未安装可参考:https://blog.csdn.net/muwenbofx/article/details/115858535 我MongoDB在/usr/local/mongodb目录下 开启认证前配置文件mongodb.conf里的是开启安全认证先要关掉auth=false 1.创建管理员用户 管理员用户必须到admin数据库下创建 #连接mongodb cd /usr/local/mongodb ./bin/mo
mongodb开启权限认证
HouYing
07-25 2719
1.启动mongdb,不带权限认证 show dbs; use admin db.createUser({user:"admin",pwd:"admin",roles:[{role:"root",db:"admin"}]}) use testdb db.col.insert({title: 'MongoDB 教程'}) db.createUser({user: "user1", pwd: "u...
Mongodb开启登录认证
最新发布
paul_544425851的博客
05-26 835
2. 为特定的数据库添加用户;本文使用uwb_beacon_location。3. 在启动脚本加入--auth参数授权并重启mongodb。1. 创建超级管理员用户。本文基于4.0.11版本。
mongo db.auth java 驱动_使用Java 3.0驱动程序检查MongoDB身份验证
weixin_42099755的博客
02-28 117
小编典典MongoClient构造函数不会引发任何与连接相关的异常。相反,它们在启动一个或多个尝试建立连接并基于提供的凭据进行身份验证的后台线程后立即返回。仅当应用程序使用MongoClient在MongoDB服务器上执行某些操作时,才会引发异常。但是,该异常是通用超时异常,指示驱动程序在服务器选择超时到期之前未能找到适合该操作的服务器。例如:MongoClient client = new Mo...
mongodb 安装到创建用户,认证auth,httpinterface
weixin_30907935的博客
02-24 92
今天花了一天时间来解开这个mongodb的谜团,如果有遇到了其他的问题,可以咨询我。 #开始 2.6.10安装方式 不同版本后面设置用户权限方式有所差异#下载这个版本的mongodb mongodb-linux-x86_64-2.6.10.gz #解压到当前目录tar -zxf mongodb-linux-x86_64-2.6.10.gz #更改文件夹名称mv mongodb-linu...
MongoDB 认证
黑土墨
10-28 778
简介对MongoDB进行访问控制就是在访问之前先对用户校验,只有当用户有相关权限是才能根据角色执行相关操作。MongoDB支持各种认证机制,具体请查看Authentication Mechanisms。下面使用单独的mongod实例和默认的认证机制说明访问控制。复制集和集群当访问控制可用时,复制集和集群需要内部认证。详细介绍请查看Internal Authentication。管理员当访问控制可用时
mongodb部署完分片后,怎么实现安全认证
05-25
要在MongoDB分片集群中实现安全认证,可以遵循以下步骤: 1. 创建管理员用户:在MongoDB的admin数据库中创建一个管理员用户,使用以下命令: ``` use admin db.createUser( { user: "admin", pwd: "password", ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值