mongodb副本集加分片集群安全认证使用账号密码登录

已于 2022-09-03 21:14:46 修改
阅读量2k 收藏 5
点赞数
分类专栏: mongodb 文章标签: mongodb 安全 数据库
于 2021-02-18 18:35:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuchunyan_aijia/article/details/113848406
版权

1.  先创建帐号哦, 再开启认证

use admin
db.createUser( 
 { 
 user:"zcyroot", 
 pwd:"zcyroot", 
 roles:[{role:"root",db:"admin"}] 
 } 
 )

角色列举,root角色是超级帐号, 必须在admin库中登录,就可以切换到任意库进行操作了

readWrite:允许用户读写指定数据库
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
root:只在admin数据库中可用。超级账号,超级权限

2. 创建帐号 (重要)

1> 由于mongodb用户的账号是跟着数据库走的, 在不同库建一样的帐号
2> 分片,副本集 也需要每一个片都要建帐号

 建议提前把帐号全部建好后, 再开启mongo的auth , 

或者至少先创建的root角色的帐号, 然后这个帐号就可以在不同库创建其他帐号了

继续操作语法如下:  

由于mongodb用户的账号是跟着数据库走的, 在不同库建一样的帐号
user admin
db.auth('zcyroot','zcyroot')

1. 创建一个帐号, 具备对 testdb 库 读写权限,创建表,索引等权限
use testdb;
db.createUser( 
{ user: "dba",pwd: "dba",
roles: [ { role: "readWrite", db: "testdb"},
         { role: "dbAdmin", db: "testdb"} 
       ]
})

2. 查看用户
>use testdb;
>show  users;
显示内容如上信息

>use admin
>show  users
显示没有dba这个用户
因为帐号是跟着数据库走的, 由于1中在testdb创建的db,所以在admin库中查不到dba用户

3. 追加权限
use testdb;
db.grantRolesToUser("dba",[{ role: "userAdmin", db: "testdb"}])
结果:

 { role: "readWrite", db: "testdb"},
 { role: "dbAdmin", db: "testdb"} 
 { role: "userAdmin", db: "testdb"}

4. 替换权限
use testdb;
db.updateUser("zcy",{"roles":[ { role: "dbAdmin", db: "testdb" }]})
结果:{ role: "dbAdmin", db: "testdb"} 

5. 删除权限
use testdb;
基于3的结果
db.revokeRolesFromUser("zcy",[{ role: "readWrite", db: "testdb"}]) 
结果:
{ role: "dbAdmin", db: "testdb"} 
 { role: "userAdmin", db: "testdb"}
此时zcy的用户. 无法find 表 ,提示没有权限

6. 修改用户密码
use  testdb;
db.auth('zcy','zcy');
db.changeUserPassword('zcy','111'); 

7. 删除用户
db.dropUser("zcy")

8. 查看全局所有账户
use admin
db.auht('zcyroot','zcyroot')
db.system.users.find().pretty()  -- 显示所有的帐号

9. 当前库下的账户
use admin
db.auht('zcyroot','zcyroot')
show  users; -- 当前库下admin库的帐户

use testdb;
show  users; -- 当前库下testdb库的帐户

DATAX 采集mongo 数据, 需要有admin库的权限, 同时需要对业务数据库的读写权限,因此创建帐号:

use admin
db.auth('zcyroot','zcyroot')  -- 最高权限帐号, 但是必须在admin库中登录
db.createUser( { user: "dataxuser",pwd: "dataxuser",roles: [ { role: "root", db: "admin" }]})  --  对admin库有最高权限

use testdb; --- 业务库
 db.createUser( { user: "dataxuser",pwd: "dataxuser",roles: [ { role: "readWrite", db: "testdb" }]})  -- 在testdb库建同名用户dataxuser, 有读写权限

2、生成密钥文件

在集群主机中任何一台机器上执行: 

openssl rand -base64 756 > /data/mongodb/testKeyFile.file
chmod 400 /data/mongodb/keyfile/testKeyFile.file
第一条命令是生成密钥文件,第二条命令是使用chmod更改文件权限,为文件所有者提供读权限

将密钥testKeyFile.file复制到集群中的每台机器的指定位置
一定要保证密钥文件一致。文件位置随便。但是为了方便查找,建议每台机器都放到一个固定的位置

3. 修改配置

  mongos比mongod少了authorization:enabled的配置。原因是,副本集加分片的安全认证需要配置两方面的,副本集各个节点之间使用内部身份验证,用于内部各个mongo实例的通信,只有相同keyfile才能相互访问。所以都要开启keyFile: /data/mongodb/testKeyFile.file

 然而对于所有的mongod,才是真正的保存数据的分片。mongos只做路由,不保存数据。所以所有的mongod开启访问数据的授权authorization:enabled。这样用户只有账号密码正确才能访问到数据

在集群所有主机上的config server,shard1,shard2,shard3,sharen 都加入下面的配置文件
security:
  keyFile: /data/mongodb/testKeyFile.file
  authorization: enabled

或者:
#开启权限验证
auth=true
keyFile=/data/mongodb/testKeyFile.file


依次在每台机器上的mongos配置文件中加入下面一段配置
security:
  keyFile: /data/mongodb/testKeyFile.file

或者
#指向keyFile
keyFile=/usr/local/mongodb/key/keyFile.key

4. 停止/启动服务

1. 停服务

依次登录mongos、mongod节点、mongo-cfg节点,然后执行:
use admin
db.shutdownServer()

或者执行
killall mongos  
killall mongod

或者 ps 出来, kill -9 
我先停止了 mongos 
然后分片的服务,片1全部停止, 在停止片2,...
最后停止config


2. 启动服务 (因为我的认证配置在了配置文件里面,所以启动命令不需要再加认证的参数 (例如--auth等))
mongodb的启动顺序是,先启动配置服务器,在启动分片,最后启动mongos
以此启动所有集群的config. 再启动所有集群share1. 再启动所有集群share2,再启动所有集群share3, 最后启动所有集群mongos

mongod -f /data/mongodb/config.conf
mongod --config /data/mongodb/shard1.conf --wiredTigerCacheSizeGB=50 --slowms=200 --profile=1
mongod --config /data/mongodb/shard2.conf --wiredTigerCacheSizeGB=50 --slowms=200 --profile=1
mongod --config /data/mongodb/shard3.conf --wiredTigerCacheSizeGB=50 --slowms=200 --profile=1
mongos -f /data/mongodb/mongos.conf

5. 链接

mongo ip:port
use admin
db.auth("your account","your password")

java链接
mongodb://user:passwd@ip1:27017,ip2:27017,ip3:27017/dbname

我家小宝_朱朱
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
MongoDB4.2分片副本集群搭建
04-21
MongoDB4.2分片副本集群搭建 MongoDB集群 MongoDB分片 MongoDB副本 MongoDB副本集群
MongoDB权限管理之用户名和密码的操作
weixin_30388677的博客
05-17 1742
Mongodb enable authentication MongoDB 默认直接连接,无须身份验证,如果当前机器可以公网访问,且不注意Mongodb 端口(默认 27017)的开放状态,那么Mongodb就会产生安全风险,被利用此配置漏洞,入侵数据库。 容易遭受入侵的环境 使用默认 mongod 命令启动 Mongodb 机器可以被公网访问 在公网上开放了 Mongodb 端...
部署安装yapi
阿涩的博客
11-18 2283
部署安装yapi
mongodb设置用户账号密码登录_mongodb用户名密码登录(2)
最新发布
2401_84132496的博客
05-17 451
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~因篇幅有限,仅展示部分资料。命令: use admin。命令: use admin。还有大家最喜欢的黑客技术。
MongoDB设置登录账号和密码
热门推荐
西瓜游侠的博客
10-20 4万+
设置用户名和密码 安装MongoDB使用mongo工具连接数据库(双击打开就行,默认不需要认证账号)。 设置超级管理员账号和密码 use admin db.createUser({ user: 'admin', // 用户名(自定义) pwd: 'Abc123++', // 密码(自定义) roles:[{ role: 'root', // 使用超级用户角色 db: 'admin' // 指定数据库 }] }) 设置完成,可以通过指
Mongo(1): MongoDB4.28开启权限认证(用户密码登录)
fen_fen的专栏
06-21 8805
MongoDB默认不启用授权认证,只要能连接到该服务器,就可连接到mongod。若要启用安全认证,需要更改配置文件mongdb.conf中的参数auth。 MongoDB的用户是跟数据库相关联的,具体的数据库,需要有对应的用户,超级管理员也不能操作其他数据库的。 MongoDB存储所有的用户信息在admin 数据库的集合system.users中,保存用户名、密码和数据库信息。 MongoDB开启权限认证:配置用户名和密码认证登录,操作步骤: 1、查看是否开启认证登录 $cd /usr/loca
Yapi部署使用
freedomjim的博客
10-17 235
docker下搭建yapi进行api接口管理
mongodb创建普通用户并授权readWrite角色,并允许访问某一数据库
qyq88888的专栏
12-09 3027
MongoDB 数据库默认角色 数据库用户角色:read、readWrite 数据库管理角色:dbAdmin、dbOwner、userAdmin 集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager 备份恢复角色:backup、restore 所有数据库角色: readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、 dbAdminAnyDatabase 超级用户角
Mongodb副本集和分片示例详解
09-09
MongoDB副本集提供了高可用性和数据安全性,而分片则用于处理大数据量和高并发场景。结合两者,你可以构建一个既可扩展又可靠的数据库系统。理解并熟练运用副本集和分片,对于优化MongoDB应用程序的性能和稳定性至...
mongodb3.4集群搭建实战之高可用的分片+副本
09-09
MongoDB 3.4版本中,构建高可用的分片+副本集群是提高数据库性能和容错能力的重要手段。本篇文章将深入探讨如何搭建这样的集群,并介绍相关的概念和技术。 **前言** MongoDB数据库领域中的地位日益提升,...
mongodb分片+副本集群部署文档.docx
09-04
mongos,数据库集群请求的入口,所有的请求都通过mongos进行协调,不需要在应用程序添加一个路由选择器,mongos自己就是一个请求分发中心,它负责把对应的数据请求请求转发到对应的shard服务器上。在生产环境通常有...
项目搭建(三)Linux上搭建YApi
weixin_45072910的博客
03-15 2662
YApi接口管理工具部署
MongoDB安全认证详解
huangjhai的博客
07-25 7000
默认情况下,MongoDB实例启动运行时是没有启用用户访问权限控制的,在实例本机服务器上都可以随意连接到实例进行各种操作,MongoDB不会对连接客户端的请求进行用户验证,这是非常危险的。
mongodb 开启身份认证_MongoDB开启安全认证
weixin_42706667的博客
12-24 1836
MongoDB开启安全认证注意对MongoDB部署启用访问控制会强制执行身份验证,要求用户识别自己。当访问启用了访问控制的MongoDB部署时,用户只能执行由其角色确定的操作。启用访问控制后,请确保在admin数据库中拥有userAdmin或userAdminAnyDatabase角色的用户。该用户可以管理用户和角色未开启复制集的实例以下过程首先将用户管理员添加到运行无访问控制的MongoDB实例...
mongodb 监控权限_MongoDB 安全和访问权限控制
weixin_36040584的博客
12-24 430
MongoDB的访问控制能够有效保证数据库安全,访问控制是指绑定Application监听的IP地址,设置监听端口,使用账户和密码登录一,访问控制的参数1,绑定IP地址mongod 参数:--bind_ip默认值是所有的IP地址都能访问,该参数指定MongoDB对外提供服务的绑定IP地址,用于监听客户端Application的连接,客户端只能使用绑定的IP地址才能访问mongod,其他IP地址...
MongoDB 安全和访问权限控制
打不死的小强lee的博客
05-09 687
MongoDB的访问控制能够有效保证数据库安全,访问控制是指绑定Application监听的IP地址,设置监听端口,使用账户和密码登录 一,访问控制的参数 1,绑定IP地址 mongod 参数:–bind_ip 默认值是所有的IP地址都能访问,该参数指定MongoDB对外提供服务的绑定IP地址,用于监听客户端 Application的连接,客户端只能使用绑定的IP地址才能访问mongod,其他...
Yapi-从零搭建接口管理平台
qq_43620187的博客
07-26 677
亲手搭建一套公司级别的内部接口文档。
mongoDB数据库设置用户名及密码
我的人生,我做主
08-23 3万+
MongoDB数据库在默认是没有用户名及密码,不用安全验证的,只要连接上服务就可以进行CRUD操作。 第一部:开启安全性验证 如果需要给MongoDB数据库使用安全验证,则需要用--auth开启安全性检查,则只有数据库认证的用户才能执行读写操作,开户安全性检查,有两种方式: 第一种:重新创建window service服务器,在创建服务时打开安全性验证。 1. 首先使用
ubuntu 18.04安装mongo4.x切片副本集服务器
08-24
在实际部署中,MongoDB分片副本集通常由以下组件构成: - **Shard Server**(分片服务器):包含一组服务器,构成一个副本集,确保主节点的高可用性,避免单点故障。 - **Config Server**(配置服务器):存储...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值