MongoDB单机安全认证和分片集群安全认证详细步骤

最新推荐文章于 2022-07-26 11:47:05 发布

ckw@ldy

最新推荐文章于 2022-07-26 11:47:05 发布

阅读量778

点赞数 1

分类专栏：分布式存储架构文章标签： mongodb 数据库 nosql

本文链接：https://blog.csdn.net/weixin_44795847/article/details/123455909

版权

分布式存储架构专栏收录该内容

28 篇文章 2 订阅

订阅专栏

本文详细介绍了MongoDB的安全认证过程，包括如何创建管理员和普通用户，设置不同角色的权限，以及启动带认证的MongoDB服务。通过具体的步骤展示了在单机和分片集群环境下进行安全认证的实现，强调了用户权限管理和定期备份的重要性，以防止类似黑客赎金事件的发生。

摘要由CSDN通过智能技术生成

一、描述

MongoDB 默认是没有账号的，可以直接连接，无须身份验证。实际项目中肯定是要权限验证的。从2016年开始发生了多起MongoDB黑客赎金事件，大部分MongoDB安全问题暴露出了安全问题的短板其实是用户，首先用户对于数据库的安全不重视，其次用户在使用过程中可能没有养成定期备份的好习惯，最后是企业可能缺乏有经验和技术的专业人员。所以对MongoDB进行安全认证是必须要做的。

二、相关操作

1、切换到admin数据库对用户的添加

use admin;
db.createUser(userDocument)：用于创建 MongoDB 登录用户以及分配权限的方法

db.createUser(
	{
		user: "账号",
		pwd: "密码",
		roles: [
			{ role: "角色", db: "安全认证的数据库" },
			{ role: "角色", db: "安全认证的数据库" }
		]
	}
)

user：创建的用户名称，如 admin、root 、lagou
pwd：用户登录的密码
roles：为用户分配的角色，不同的角色拥有不同的权限，参数是数组，可以同时设置多个
role：角色，MonngoDB 已经约定好的角色，不同的角色对应不同的权限后面会对role做详细解释
db：数据库实例名称，如 MongoDB 4.0.2 默认自带的有 admin、local、config、test 等，即为哪个数据库实例设置用户

db.createUser(
	{
		user:"root",
		pwd:"123321",
		roles:[{role:"root",db:"admin"}]
	}
)

2、修改密码

db.changeUserPassword( 'root' , 'rootNew' );

3、用户添加角色

db.grantRolesToUser( '用户名' , [{ role: '角色名' , db: '数据库名'}])

4、以auth 方向启动mongod

/bin/mongod -f conf/mongo.conf --auth
（也可以在mongo.conf 中添加auth=true 参数）

5、验证用户

db.auth("账号","密码")

6、删除用户

db.dropUser("用户名")

三、角色

1、数据库内置角色

read：允许用户读取指定数据库
readWrite：允许用户读写指定数据库
dbAdmin：允许用户在指定数据库中执行管理函数，如索引创建、删除，查看统计或访问
system.profile
userAdmin：允许用户向system.users集合写入，可以找指定数据库里创建、删除和管理用户
clusterAdmin：只在admin数据库中可用，赋予用户所有分片和复制集相关函数的管理权限
readAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的读权限
readWriteAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的读写权限
userAdminAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的dbAdmin权限
root：只在admin数据库中可用。超级账号，超级权限
dbOwner：库拥有者权限，即readWrite、dbAdmin、userAdmin角色的合体

2、各个类型用户对应的角色

数据库用户角色：read、readWrite
数据库管理角色：dbAdmin、dbOwner、userAdmin
集群管理角色：clusterAdmin、clusterManager、clusterMonitor、hostManager
备份恢复角色：backup、restore；
所有数据库角色：readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
超级用户角色：root
这里还有几个角色间接或直接提供了系统超级用户的访问（dbOwner 、userAdmin、userAdminAnyDatabase）

四、单机安全认证实现流程

创建 mydb1 数据库并创建了两个用户，zhangsan 拥有读写权限，lisi 拥有只读权限测试这两个账户的权限。

以超级管理员登录测试权限。

1、创建管理员

MongoDB 服务端开启安全检查之前，至少需要有一个管理员账号，admin 数据库中的用户都被视为管理员

如果 admin 库没有任何用户的话，即使在其他数据库中创建了用户，启用身份验证，默认的连接方式依然会有超级权限，即仍然可以不验证账号密码照样能进行 CRUD，安全认证相当于无效。

>use admin
switched to db admin
> db
admin
> db.createUser(
... {
... user:"root",
... pwd:"123456",
... roles:[{role:"root",db:"admin"}]
... })

2、创建普通用户

如下所示 mydb1 是自己新建的数据库，没安全认证之前可以随意 CRUD，其余的都是 mongoDB4.0.2 自带的数据库

>show dbs
admin 0.000GB
config 0.000GB
local 0.000GB
mydb1 0.000GB
> use mydb1
switched to db mydb1
> db.c1.insert({name:"testdb1"})
> db.c1.insert({name:"testdb1"})
> show tables
c1
c2
> db.c1.find()
...

为 admin 库创建管理员之后，现在来为普通数据库创建普通用户，以 mydb1 为例，方式与创建管理员一致，切换到指定数据库进行创建即可
如下所示，为 mydb1 数据库创建了两个用户，zhangsan 拥有读写权限，lisi 拥有只读权限，密码都是 123456

use mydb1
switched to db mydb1
> db
mydb1
> db.createUser({
... user:"zhangsan",
... pwd:"123456",
... roles:[{role:"readWrite",db:"mydb1"}]
... })
> db.createUser({
... user:"lisi",
... pwd:"123456",
... roles:[{role:"read",db:"mydb1"}]
... })

接着从客户端关闭 MongoDB 服务端，之后服务端会以安全认证方式进行启动

> use admin
switched to db admin
> db.shutdownServer()
server should be down

3、MongoDB 安全认证方式启动

mongod --dbpath=数据库路径 --port=端口 --auth 也可以在配置文件中加入 auth=true

4、分别以普通用户登录验证权限

普通用户现在仍然像以前一样进行登录，如下所示直接登录进入 mydb1 数据库中，登录是成功的，只是登录后日志少了很多东西，而且执行 show dbs 命令，以及 show tables 等命令都是失败的，即使没有被安全认证的数据库，用户同样操作不了，这都是因为权限不足，一句话：用户只能在自己权限范围内的数据库中进行操作

mongo localhost:57017/mydb1
> show dbs

如下所示，登录之后必须使用 db.auth(“账号”,“密码”) 方法进行安全认证，认证通过，才能进行权限范围内的操作

> db.auth("zhangsan","123456")
1 
>show dbs
mydb1 0.000GB
> show tables
c1
c2

5、以管理员登录验证权限

客户端管理员登录如下所示管理员 root 登录，安全认证通过后，拥有对所有数据库的所有权限。

mongo localhost:57017
> use admin
switched to db admin
> db.auth("root","root")
1 >
show dbs
...

五、分片集群安全认证

1、开启安全认证之前进入路由创建管理员和普通用户

参考以上单机安全认证创建步骤

2、关闭所有的配置节点分片节点和路由节点

安装psmisc
yum install psmisc
安装完之后可以使用killall 命令 快速关闭多个进程
killall mongod

3、生成密钥文件并修改权限

openssl rand -base64 756 > data/mongodb/testKeyFile.file
chmod 600 data/mongodb/keyfile/testKeyFile.file

4、配置节点集群和分片节点集群开启安全认证和指定密钥文件

auth=true
keyFile=data/mongodb/testKeyFile.file

5、在路由配置文件中设置密钥文件

keyFile=data/mongodb/testKeyFile.file

6、启动所有的配置节点分片节点和路由节点使用路由进行权限验证

可以编写一个shell 脚本批量启动

./bin/mongod -f config/config-17017.conf
./bin/mongod -f config/config-17018.conf
./bin/mongod -f config/config-17019.conf
./bin/mongod -f shard/shard1/shard1-37017.conf
./bin/mongod -f shard/shard1/shard1-37018.conf
./bin/mongod -f shard/shard1/shard1-37019.conf
./bin/mongod -f shard/shard2/shard2-47017.conf
./bin/mongod -f shard/shard2/shard2-47018.conf
./bin/mongod -f shard/shard2/shard2-47019.conf
./bin/mongos -f route/route-27017.conf

7、Spring boot 连接安全认证的分片集群

spring.data.mongodb.username=账号
spring.data.mongodb.password=密码
#spring.data.mongodb.uri=mongodb://账号:密码@IP:端口/数据库名