mongodb分片集群数据库安全认证

最新推荐文章于 2023-11-05 11:45:33 发布
最新推荐文章于 2023-11-05 11:45:33 发布
阅读量686 收藏 3
点赞数
分类专栏: MongoDB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyl9527/article/details/84745405
版权

默认的mongodb是不设置认证的。只要ip和端口正确就能连接,这样是不安全的。mongodb官网上也说,为了能保障mongodb的安全可以做以下几个步骤:

1、使用新的端口,默认的27017端口如果一旦知道了ip就能连接上,不太安全

2、设置mongodb的网络环境,最好将mongodb部署到公司服务器内网,这样外网是访问不到的。公司内部访问使用vpn等

3、开启安全认证。认证要同时设置服务器之间的内部认证方式,同时要设置客户端连接到集群的账号密码认证方式
 

所以我们需要手动去添加用户,以便可以更加安全的进行访问,在没添加用户验证之前,通过mongos进入数据库时会有如下的警告:

开启分片集群的权限验证

对副本集执行访问控制需要配置两个方面:

    1、副本集和共享集群的各个节点成员之间使用内部身份验证,可以使用密钥文件或x.509证书。密钥文件比较简单,本文介绍的也是使用密钥文件,官方推荐如果是测试环境可以使用密钥文件,但是正是环境,官方推荐x.509证书。原理就是,集群中每一个实例彼此连接的时候都检验彼此使用的证书的内容是否相同。只有证书相同的实例彼此才可以访问

    2、使用客户端连接到mongodb集群时,开启访问授权。对于集群外部的访问。如通过可视化客户端,或者通过代码连接的时候,需要开启授权。

1、生成密钥文件。
    1.1在keyfile身份验证中,副本集中的每个mongod实例都使用keyfile的内容作为共享密码,只有具有正确密钥文件的mongod或者mongos实例可以连接到副本集。密钥文件的内容必须在6到1024个字符之间,并且在unix/linux系统中文件所有者必须有对文件至少有读的权限。

    1.2可以用任何方式生成密钥文件例如:

openssl rand -base64 756 > /opt/mongodb/security/KeyFile.file
chmod 600 /opt/mongodb/security/testKeyFile.file

第一条命令是生成密钥文件,第二条命令是使用chmod更改文件权限,为文件所有者提供读权限,一定要保证密钥文件一致。文件位置随便。但是为了方便查找,建议每台机器都放到一个固定的位置。我的配置文件都放在/opt/mongodb/securitytestKeyFile.file

预先创建好一个管理员账号和密码然后将集群中的所有mongod和mongos全部关闭

账号可以在集群认开启认证以后添加。但是那时候添加比较谨慎。只能添加一次,如果忘记了就无法再连接到集群。建议在没开启集群认证的时候先添加好管理员用户名和密码然后再开启认证再重启

连接任意一台机器的mongos,建立一个拥有添加删除用户权限的账号

use admin   //注意一定要使用admin数据库
db.createUser({
 user:"bfd",
 pwd:"123456",
 roles: [ { role: "userAdminAnyDatabase",db:"admin"}]
})

这里就添加了一个bfd这么一个用户,他可以进行所有数据库的用户管理。在添加这个用户后,我们连接mongodb时仍然不需要进行登录,这是因为我们未在配置中开启权限验证。

然后依次连接到每一台机器上执行,之前介绍过正确关闭mongodb服务,是进入交互端,执行 db.shutdownServer()关闭服务。

killall mongod
killall mongos

说明:可以先开启认证重启后再添加用户。但是只能在admin库添加一次,所以如果忘记了,或者权限分配不恰当就无法再更改,所以建议先添加用户再开启认证重启,并且集群不建议在每个单节点添加用户,并且建议单节点关闭初始添加账号的权限,详情见enableLocalhostAuthBypass)

依次在每台机器上的mongod的配置文件中加入下面一段配置。如我在172.18.1.23上的config server,shard1,shard2,shard3都加入下面的配置:

#开启权限验证
security:
  keyFile: /opt/mongodb/security/keyFile.file  
  authorization: enabled

依次在每台机器上的mongos配置文件中加入下面一段配置。如我在172.18.1.23上的mongos配置文件中加入上面的一段配置

security:
  keyFile: /data/mongodb/testKeyFile.file

解释:
    mongos比mongod少了authorization:enabled的配置。原因是,副本集加分片的安全认证需要配置两方面的,副本集各个节点之间使用内部身份验证,用于内部各个mongo实例的通信,只有相同keyfile才能相互访问。所以都要开启keyFile: /opt/mongodb/security/testKeyFile.file

    然而对于所有的mongod,才是真正的保存数据的分片。mongos只做路由,不保存数据。所以所有的mongod开启访问数据的授权authorization:enabled。这样用户只有账号密码正确才能访问到数据

重启每个mongo示例。因为我的认证配置在了配置文件里面,所以启动命令不需要再加认证的参数 (例如--auth等)

numactl --interleave=all mongod -f /opt/mongodb/config/configsvr.conf
numactl --interleave=all mongod -f /opt/mongodb/config/shard1.conf
numactl --interleave=all mongod -f /opt/mongodb/config/shard2.conf
numactl --interleave=all mongod -f /opt/mongodb/config/shard3.conf
numactl --interleave=all mongos-f /opt/mongodb/config/mongos.conf

依次重启三台机器的mongod和mongos实例

连接mongodb集群

[bfd@bfd-yiz-1p23 /opt/mongodb]$ mongo --port 27017
MongoDB shell version v4.0.4
connecting to: mongodb://127.0.0.1:27017/
Implicit session: session { "id" : UUID("8906ec80-d7d1-4f14-ac1d-97e3ae6c94cd") }
MongoDB server version: 4.0.4
mongos> use admin
switched to db admin
mongos> 
mongos> db.auth("bfd","123456")
1

如果返回1表示连接成功

wyl9527
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MongoDB开启安全认证
jeanette_zlj的博客
03-15 1万+
MongoDB开启安全认证 注意 对MongoDB部署启用访问控制会强制执行身份验证,要求用户识别自己。当访问启用了访问控制的MongoDB部署时,用户只能执行由其角色确定的操作。 启用访问控制后,请确保在admin数据库中拥有userAdmin或userAdminAnyDatabase角色的用户。该用户可以管理用户和角色 未开启复制集的实例 以下过程首先将用户管理员添加到运行...
MongoDB分片集群部署详解
09-09
本篇文章将详细阐述MongoDB分片集群的部署过程和相关概念。 首先,理解分片集群的基本构成。MongoDB分片集群由三个主要部分组成:mongos路由服务器、config servers配置服务器以及shards存储节点。mongos负责...
mongodb副本集加分片集群安全认证使用账号密码登录
08-23
mongodb副本集加分片集群安全认证使用账号密码登录
MongoDB安全认证详解
qq_60175070的博客
03-09 3758
内置角色只能控制User在DB级别上执行的操作,管理员可以创建自定义角色,控制用户在集合级别(Collection-Level)上执行的操作,即,控制User在当前DB的特定集合上执行特定的操作。Scope:角色作用的范围,创建在Admin中的角色,能够在其他DB中使用;在其他DB中创建的角色,只能在当前DB中使用;Resource:角色控制的资源,表示授予在该资源上执行特定操作的权限;
MongoDB集群搭建实战 | 副本集 Replica-Set | 分片集群 Shard-Cluster | 安全认证
Cauchy的博客
11-05 1897
MongoDB集群搭建实战 | 副本集 Replica-Set | 分片集群 Shard-Cluster | 安全认证
MongoDB从入门到实战(十七):安全认证(分片集群)
人不风流枉少年
04-20 460
分片集群环境下的安全认证和副本集环境下基本上一样。但分片集群的服务器环境和架构较为复杂,建议在搭建分片集群的时候,直接加入安全认证和服务器间的鉴权,如果之前有数据,可先将之前的数据备份出来,再还原回去。 一:关闭集群服务器 2.1 快速关闭方法(快速,简单,数据可能会出错) 依次杀死mongos路由、配置副本集服务,分片副本集服务,从次节点开始。直到所有成员都离线。副 本集杀的时候,建议先杀仲裁者,再杀副本节点,最后是主节点,以避免潜在的回滚。杀完要检查一 下,避免有的没有杀掉。 ps -ef | grep
MongoDB安全认证
rzpy_qifengxiaoyue的博客
10-11 726
文章目录1. 安全认证概述2. 用户相关操作2.1 切换到admin数据库对用户的添加2.2 修改密码2.3 用户添加角色2.4 以auth方式启动mongod2.5 验证用户2.6 删除用户3. 角色3.1 数据库内置的角色3.2 各个类型用户对应的角色4. 单机安全认证实现流程4.1 创建管理员4.2 创建普通用户4.3 MongoDB 安全认证方式启动4.4 以普通用户登录验证权限4.5 以管理员登录验证权限5. 分片集群安全认证5.1 开启安全认证之前进入路由创建管理员和普通用户5.2 关闭所有的配
MongoDB分片集群基本配置教程
09-10
本教程将详细讲解MongoDB分片集群的基本配置步骤。 首先,了解为何需要进行数据分片分片的主要目标是解决单个服务器的性能瓶颈,包括处理能力(请求量)和存储空间。通过分片,可以减少单台服务器的负载,提高...
一汽丰田数据湖环境mongoDB分片集群测试
02-06
在一汽丰田的数据湖环境中,MongoDB 分片集群被用于处理大量数据,以提高读写性能和容错能力。分片(Sharding)是MongoDB中的关键特性,它允许将大型数据集分布在多个物理节点上,每个节点存储数据的一部分,从而...
mongodb分片集群安装包
06-01
总结来说,MongoDB分片集群的安装和配置是一个涉及多步骤的过程,包括服务器准备、组件设置、分片策略、监控和安全。理解这些知识点有助于构建高效、可靠的分布式数据库系统。通过实践,你可以熟练掌握MongoDB分片...
centos7下mongodb4.0.6分片集群搭建(psa)-用户认证关键问题汇总
04-08
公司单节点升级到分片下,搜索了一圈大多数MongoDB集群的部署方案都是分片+副本集,没有讲述如何从单节点升级到分片+复制集的方法,亲自试验后记录整个过程以及中间的参考内容和疑难解决,以备后查。内容包含复制集+分片的搭建 ,用户访问控制,windows转linux 单节点加入到复制集,进入到分片的操作,非常完备的配置及其说明。
mongodb分片+副本)集群部署文档.docx
09-04
config server,顾名思义为配置服务器,存储所有数据库元信息(路由、分片)的配置。mongos本身没有物理存储分片服务器和数据路由信息,只是缓存在内存里,配置服务器则实际存储这些数据。mongos第一次启动或者关掉...
mongodb 分片集群,权限认证
qq_33229049的博客
05-26 489
创建数据存放文件目录结构 #创建集群 配置服务器 复制集合 baseroot=/mytmp/mongo-server if [ -e $baseroot ] then echo "dir is exits" exit 0 fi mkdir -p $baseroot cd $baseroot mkdir -p data/mongo/config/rs1 mkdir -p data/mongo/config/rs2 mkdir -p data/mongo/config/rs3 #创建sh..
Mongodb -分片集群搭建-安全认证
小城我家
09-29 643
下载 https://www.mongodb.com/ 节点关系 | 192.168.181.138| 192.168.181.139| 192.168.181.137|192.168.180.132| |–|--|–| | mongos 27017 | mongos 27017 | mongos 27017 || | 配置17017节点| 分片shard1节点37017 | 分片shard2节点47017 |分片shard3节点57017| | 配置17087节点| 分片shard1节点370
mongodb分片集群开启安全策略
小识的博客
06-04 965
常见的用户角色 参考博客 [1]https://www.cnblogs.com/pl-boke/p/10064489.html [2]https://blog.csdn.net/jeanette_zlj/article/details/79563954
mongodb3.6集群搭建:分片集群认证
(Andrew)的专栏
02-20 2035
上篇集群已经创建,现在加入认证。1. 生成密钥文件每个服务器上创建路径: mkdir -p /var/lib/mongo/auth生成64字节的密钥文件openssl rand -base64 64 > /var/lib/mongo/auth/keyfile.key把密钥文件复制到集群中每一个结点上(路由结点,元配置结点,分片结点上都要有这个密钥文件)scp /var/lib/mongo/a...
mongodb分片集群开启安全认证
weixin_30902251的博客
12-04 497
原文地址:https://blog.csdn.net/uncle_david/article/details/78713551 对于搭建好的mongodb副本集加分片集群,为了安全,启动安全认证,使用账号密码登录。 默认的mongodb是不设置认证的。只要ip和端口正确就能连接,这样是不安全的。mongodb官网上也说,为了能保障mongodb安全可以做以下几个步骤: 1、使用新的端口,默...
MongoDB分片集群部署(三)
wyl9527的博客
12-01 1657
1.分片集群介绍与原理 2.分片集群安装 2.1解压,创建软连接,配置环境变量 2.2config server配置服务器( configsvr角色) 2.3配置分片副本集三台机器都要配( shardsvr角色 ) 2.3.1设置第一个分片副本集 2.3.2设置第二个分片副本集: 2.3.2设置第三个分片副本集 2.3配置路由服务器mongos(路由角色) 3.启用分片 4.测...
mongodb分片集群用户认证
最新发布
12-15
MongoDB分片集群是基于分布式架构的数据库系统,为了保护数据的安全性,用户认证是非常重要的一环。在MongoDB分片集群中,用户认证可以通过以下方式实现: 首先,我们需要创建管理员用户,管理员用户具有对数据库进行管理的权限。我们可以使用以下命令创建管理员用户: ``` use admin db.createUser( { user: "admin", pwd: "admin123", roles: [ { role: "userAdminAnyDatabase", db: "admin" } ] } ) ``` 然后,我们可以创建其他普通用户,在各个分片上创建相同的用户和密码。假设我们需要创建一个名为"testuser"的用户: ``` use mydatabase db.createUser( { user: "testuser", pwd: "test123", roles: [ { role: "readWrite", db: "mydatabase" } ] } ) ``` 接下来,我们需要在分片集群的配置服务器上启用身份验证。我们需要编辑MongoDB的配置文件,在其中添加以下内容: ``` security: authorization: enabled ``` 最后,我们需要在每个分片节点上重启MongoDB,使上述配置生效。 通过上述步骤,我们成功地在MongoDB分片集群中实现了用户认证。现在,只有经过授权的用户才能访问数据库和执行相应的操作,从而提升了数据库的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值