[mongo] 安全架构

最新推荐文章于 2024-02-13 10:31:02 发布
最新推荐文章于 2024-02-13 10:31:02 发布
阅读量90 收藏
点赞数
分类专栏: mongo 文章标签: mongo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38805083/article/details/132061146
版权

mongo DB 安全架构

MongoDB 安全架构一览图

  • 3A+encrypt
  • image

MongoDB 用户认证方式

  • image

MongoDB 集群节点认证

  • Keyfile:将统一 Keyfile 文件拷贝到不同的节点
    Keyfile 就是一个字符串
  • X.509: 基于证书的认证模式,推荐不同的节点使用不同的证书
  • image

MongoDB 鉴权 – 基于角色的权限机制

  • MongoDB 授权基于角色的权限控制,不同的权限的用户对数据库的操作不同

角色的组成

  • image

MongoDB 内置角色及权限继承关系

  • image

自定义角色

db.createRole( {
role: 'sampleRole', 
privileges: [{
resource: {
db: 'sampledb', collection: 'sample'
}, 
actions: ["update"]
}],
roles: [{
role: 'read', 
db: 'sampledb'
}]
} )
db.createUser( {
user: 'sampleUser', 
pwd: 'password', 
roles: [{role: 'sampleRole', db: 'admin'}]
} )

传输加密

  • MongoDB 支持 TLS/SSL 来加密 MongoDB 的所有网络传输(客户端应用和服务器端之间,内部复制集之间)。
    TLS/SSL 确保 MongoDB 网络传输仅可由允许的客户端读取

落盘加密

  • 生成 master key,用来加密每一个数据库的 key
  • 生成每一个数据库的 key,用来加密各自的数据库
  • 基于生成的数据库 key 加密各个数据库中的数据
  • Key 管理(只针对 master key,数据库 key 保存在数据库内部)

字段级加密

  • 单独文档字段通过自身密钥加密

  • 数据库只看见密文

  • 优势

    • 便捷:自动及透明
    • 任务分开:(简化基于服务的系统步骤,因为没有服务工程师能够看到纯文本)
    • 合规:监管“被遗忘权”
    • 快速:最小性能代偿
  • image

审计

  • 数据库等记录型系统通常使用审计监控数据库相关的一些活动,以及对一些可疑的
    操作进行调查
  • 本地文件 或 syslog,
  • 记录内容:Schema change (DDL),CRUD 操作 (DML),用户认证

审计配置参数举例

  • 审计日志记录到 syslog

    • –auditDestination syslog

  • 审计日志记录写到指定文件

    • –auditDestination file --auditFormat JSON --auditPath /path/to/auditLog.json

  • 对删表和创建表动作进行审计日志记录

    • –auditDestination file --auditFormat JSON --auditPath auditLog.json –
      auditFilter '{atype: {$in: [“createCollection”, “dropCollection”]}}’

MongoDB 安全架构总结

  • image

安全加固实践

合理配置权限

• 创建管理员
• 使用复杂密码
• 不同用户不同账户
• 应用隔离
• 最小权限原则

启用加密

• 使用 TLS 作为传输协议
• 使用4.2版本的字段级加密对敏感字段加密
• 如有需要,使用企业版进行落盘加密
• 如有需要,使用企业版并启用审计日志

网络和操作系统加固

  • 使用专用用户运行 MongoDB
    • 不建议在操作系统层使用 root 用户运行 MongoDB
  • 限制网络开放度
    ■ 通过防火墙,iptables 规则控制对 MongoDB 的访问
    ■ 使用 VPN/VPCs 可以创建一个安全通道,MongoDB 服务不应该直接暴露在互联网上
    ■ 使用白名单列表限制允许访问的网段
    ■ 使用 bind_ip 绑定一个具体地址
    ■ 修改默认监听端口:27017
  • 使用安全配置选项运行 MongoDB
    ■ 如果不需要执行 JavaScript 脚本,使用 --noscripting 禁止脚本执行
    ■ 如果使用老版本 MongoDB,关闭 http 接口 : net.http.enabled = False net.http.JSONPEnabled = False
    ■ 如果使用老版本 MongoDB,关闭 Rest API 接口: net.http.RESTInterfaceEnabled = False

Demo

  • 方式一: 命令行方式通过 “–auth” 参数
  • 方式二: 配置文件方式在 security 下添加 “authorization: enabled”
mongod –-auth –-port 27017 –-dbpath /data/db
mongo 
> use admin
> db.createUser({user: "superuser", pwd: "password", roles: [{role: "root", db: 
"admin"}]} )
  • 安全登录,执行如下命令查看认证机制
mongo -u superuser -p password --authenticationDatabase admin 
db.runCommand({getParameter: 1, authenticationMechanisms: 1})

创建应用用户

db.createUser({user: "reader", pwd: "abc123", roles: [{ role:"read", db: "acme" }]})
db.createUser({user: "writer", pwd: "abc123", roles: [{ role:"readWrite", db: "acme" }]})
一条闲鱼_mytube
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
meteor-collection2:一个Meteor程序包,它扩展了Mongo.Collection,以提供对指定架构的支持,然后在插入和更新时针对该架构进行验证
02-03
一个Meteor包,允许您将架构附加到Mongo.Collection。 从客户端或服务器代码插入和更新时,将自动针对该架构进行验证。 该软件包需要 NPM软件包,该软件包定义了模式语法并提供了验证逻辑。 目录 安装 在您的...
MongoDB安全认证详解
qq_60175070的博客
03-09 3674
内置角色只能控制User在DB级别上执行的操作,管理员可以创建自定义角色,控制用户在集合级别(Collection-Level)上执行的操作,即,控制User在当前DB的特定集合上执行特定的操作。Scope:角色作用的范围,创建在Admin中的角色,能够在其他DB中使用;在其他DB中创建的角色,只能在当前DB中使用;Resource:角色控制的资源,表示授予在该资源上执行特定操作的权限;
MongoDB未授权访问漏洞及加固
七月_的博客
06-24 9202
MongoDB MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。 MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。 ...
Mongo集群化部署+高可用架构
weixin_44834554的博客
04-21 1181
数据库的演进随着计算机的发展,越来越多的数据需要被处理,数据库是为处理数据而产生。从概念上来说,数据库是指以一定的方式存储到一起,能为多个用户共享,具有更可能小的冗余,与应用程序彼此独立的数据集合。从功能上来说,就是数据管理软件。到了2000年随着互联网的发展,数据量呈现爆发式增长。海量数据的诞生,传统的关系型数据库在应对大规模,超大流量的时候就显得力不从心。借此,NoSQL数据库跟NewSQLl数据库就此登场。
mongodb的三种架构演进
h295928126的博客
05-30 448
mongodb的三种架构演进
MongoDB 架构
程序猿进阶
03-25 726
这意味着,如果该文档正在被修改,其他写操作必须等待,直到在该文档上的写操作完成之后,其他写操作相互竞争,获胜的写操作在该文档上执行修改操作;的时候就收到响应,这个时候客户端不需要等服务器的应答,但是的本地的驱动还是尽可能的通知客户端网络的异常,这和客户端操作系统的配置有关。:这种方式客户端发送接口会等待服务器给的确认,这种方式一定能确保服务器收到了客户端的请求,并且当服务器能够异常时,响应客户端。文件系统缓存的使用量不固定,有三种处理策略:客户端发出去的时候,服务器收到请求的时候,服务器写入磁盘的时候。
MongoDB集群和安全
General_zy的博客
06-06 854
MongoDB中的副本集(Replica Set)是一维护相同数据集的mongod服务。副本集可提供冗余和高可用性,是所有生产部署的基础。也可以说,副本集类似于有自动故障恢复功能的主从集群。通俗的讲就是用多台机器进行同一数据的异步同步,从而使多台机器拥有同一数据的多个副本,并且当主库当掉时在不需要用户干预的情况下自动切换其他备份服务器做主库。而且还可以利用副本服务器做只读服务器,实现读写分离,提高负载。(1)冗余和数据可用性复制提供冗余并提高数据可用性。
MongoDB技术架构详解
码到三十五
02-13 1479
MongoDB是一个面向文档的数据库,它以BSON(Binary JSON)格式存储数据。与关系型数据库不同,MongoDB没有固定的表结构,允许存储不同结构和类型的数据。这使得MongoDB非常适合处理半结构化和非结构化数据,如日志、社交媒体数据等。高性能:MongoDB使用内存映射文件存储引擎(WiredTiger或MMAPv1),支持高速数据读写操作。高可用性:MongoDB支持主从复制和分片集群,确保数据的高可用性和可扩展性。灵活性:MongoDB支持动态模式,允许在运行时添加或删除字段。
MongoDB 安全认证
weixin_49107940的博客
07-18 1743
默认情况下,MongoDB实例启动运行时是没有启用用户访问权限控制的,也就是说,在实例本机服务器上都可以随意连接到实例进行各种作,MongoDB不会对连接客户端进行用户验证,这是非常危险的。使用新的端口,默认的27017端口如果一旦知道了ip就能连接上,不太安全。设置mongodb的网络环境,最好将mongodb部署到公司服务器内网,这样外网是访问不到的。公司内部访问使用vpn等。开启安全认证。认证要同时设置服务器之间的内部认证方式,同时要设置客户端连接到集群的账号密码认证方式。...
Mongo 启动命令
Keith003的博客
05-30 1199
基本配置--quiet # 安静输出 --port arg # 指定服务端口号,默认端口27017 --bind_ip arg # 绑定服务IP,若绑定127.0.0.1,则只能本机访问,不指定默认本地所有IP --logpath arg # 指定MongoDB日志文件,注意是指定文件不是目录 --logappend # 使用追加的方式写日志 --pidfilepath arg # PID Fil...
CoffeeWithCloudySpartans:使用 Mongo、Express、React、Node (MERN) 和 Go 开发了一个在线咖啡店应用程序。 托管在 Go 中开发的数据服务 API 模块作为使用 Kubernetes 的微服务。 目的是在安全性、可扩展性和效率方面按照行业标准证明正确使用云技术
05-30
使用 Mongo、Express、React、Node (MERN) 和 Go 开发了一个在线咖啡店应用程序。 托管在 Go 中开发的数据服务 API 模块作为使用 Kubernetes 的微服务。 原始存储库: MongoDB 和 Riak KV 的分区容错演示 MongoDB ...
OneBackend:一个简单但功能强大的以太坊基础架构
05-06
一。 后端 简单但功能强大的以太坊后端 ... 如果在8个块(链重安全限制)之后仍未发送,则处理器将重新发送事务。 这使用持久性文件存储未决事务,使用mongo存储已发送的事务。 Web:一个线程,用
护照:此项目为您提供了由Spring Boot 2支持的基本auth2服务器和客户端配置,能够插入自定义登录页面并将Mongo DB用作数据存储
01-31
其他Web或手机客户端可以使用本服务端做统一安全认证。该服务端提供授权码,密码, client_credentials,隐式等授权模式,适用于各种不同的使用场景。本系统支持分布式多节点部署,分布式环境下会话共享并没有使用...
til:关于Docker,React,Node,Mongo,Devops等的想法。 每天(我会尽力)收集最佳实践,趋势,新技术,课程...!
05-13
可扩展架构 监控/记录 DevOps资料 演算法 数据结构 设计模式 语用编程 精益创业 萨斯 MongoDB的 时分双工 可维护性 JSDoc JavaScript(ES6) RESTful API 很时髦... 简·卡洛·维雷( Jan Carlo Viray)
Java swing + socket + mysql 五子棋网络对战游戏FiveChess.zip
05-12
五子棋游戏想必大家都非常熟悉,游戏规则十分简单。游戏开始后,玩家在游戏设置中选择人机对战,则系统执黑棋,玩家自己执白棋。双方轮流下一棋,先将横、竖或斜线的5个或5个以上同色棋子连成不间断的一排者为胜。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【技术】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
纯C语言实现的控制台有禁手五子棋(带AI)Five-to-five-Renju.zip
05-12
五子棋游戏想必大家都非常熟悉,游戏规则十分简单。游戏开始后,玩家在游戏设置中选择人机对战,则系统执黑棋,玩家自己执白棋。双方轮流下一棋,先将横、竖或斜线的5个或5个以上同色棋子连成不间断的一排者为胜。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【技术】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
setuptools-57.1.0.tar.gz
05-12
Python库是一预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
setuptools-59.1.1.tar.gz
最新发布
05-12
Python库是一预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
springboot mongo
09-15
在使用Spring Boot和MongoDB开发应用程序时,有两种常用的方式可以访问和操作MongoDB数据库:MongoTemplate和MongoRepository。 1. 使用MongoTemplate: - 在项目的配置文件(如application.properties或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值