您现在的位置是:网站首页> 编程资料编程资料
浅析MongoDB之安全认证_MongoDB_
2023-05-27
487人已围观
简介 浅析MongoDB之安全认证_MongoDB_
一、MongoDB的用户和角色权限简介
为了强制开启用户访问控制(用户验证),则需要在MongoDB实例启动时使用选项--auth或在指定启动配置文件中添加auth=true。
- 启用访问控制:
MongoDB使用的是基于角色的访问控制(Role-Based Access Control,RBAC)来管理用户对实例的访问。通过对用户授予一个或多个角色来控制用户访问数据库资源的权限和数据库操作的权限,在对用户分配角色之前,用户无法访问实例。 - 角色:在
MongoDB中通过角色对用户授予相应数据库资源的操作权限,每个角色当中的权限可以显示指定,也可以通过集成其他角色的权限,或者两者都存在的权限。 - 权限:权限由指定的数据库(resource)以及允许在运行资源上进行的操作(action)组成。资源(resource)包括:数据库、集合、部分集合和集群;操作(action)包括:对资源的增、删、改、查(CRUD)操作。
在角色定义时可以包含一个或多个已存在的角色,新创建的角色会继承包含的角色所有的权限。在同一个数据库中,新创建角色可以继承其他角色的权限,在admin数据库中创建的角色可以继承在其它任意数据库中的角色的权限。
角色权限的查看,可以通过如下的命令进行查看:
# 查询所有角色权限(仅用户自定义角色) > db.runCommand({ rolesInfo: 1 }) # 查询所有角色权限(包含内置角色) > db.runCommand({ rolesInfo: 1, showBuiltinRoles: true }) # 查询当前数据库中的某角色的权限 > db.runCommand({ rolesInfo: "" }) # 查询其它数据库中指定的角色权限 > db.runCommand({ rolesInfo: { role: "", db: "" } } # 查询多个角色权限 > db.runCommand({ rolesInfo: [ "", { role: "", db: "" }, ... ] }) 示例:
1.1、查看所有内置角色
> db.runCommand({rolesInfo:1, showBuiltinRoles:true}) { "roles" : [ { "role" : "__queryableBackup", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "__system", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "backup", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "clusterAdmin", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "clusterManager", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "clusterMonitor", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "dbAdmin", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "dbAdminAnyDatabase", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "dbOwner", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "enableSharding", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "hostManager", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "read", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "readAnyDatabase", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "readWrite", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "readWriteAnyDatabase", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "restore", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "root", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "userAdmin", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "userAdminAnyDatabase", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] } ], "ok" : 1 }1.2、常见的内置角色
- 数据库用户角色:
read、readWrite - 数据库管理角色:
dbAdmin、dbOwner、userAdmin - 集群管理角色:
clusterAdmin、clusterManager、clusterMonitor - 所有数据库用户角色:
readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase - 备份恢复角色:
backup、restore - 超级用户角色:
root - 内部角色:
system
角色说明:
| 角色 | 权限描述 |
|---|---|
| read | 可以读取指定数据库中任何数据。 |
| readWrite | 可以读写指定数据库中任何数据,包括创建、重命名、删除集合 |
| readAnyDatabase | 可以读取所有数据库中任何数据(除了数据库config和local之外) |
| readWriteAnyDatabase | 可以读写所有数据库中任何数据(除了数据库config和local之外) |
| userAdminAnyDatabase | 可以在指定数据库创建和修改用户(除了数据库config和local之外) |
| dbAdminAnyDatabase | 可以读取任何数据库以及对数据库进行清理、修改、压缩、获取统计信息、执行检查等操作(除了数据库config和local之外) |
| dbAdmin | 可以读取指定数据库以及对数据库进行清理、修改、压缩、获取统计信息、执行检查等操作 |
| userAdmin | 可以在指定数据库创建和修改用户 |
| clusterAdmin | 可以对整个集群或数据库系统进行管理操作 |
| backup | 备份MongoDB数据最小的权限 |
| restore | 从备份文件中还原恢复MongoDB数据(除了system.profile集合)的权限 |
| root | 超级账户,超级权限 |
二、单实例环境
2.1、创建用户
创建用户格式如下:
db.createUser({ user:"", pwd:"", customData:{",db:"database"}, ... ] }) 备注: 1)user:新建用户名 2)pwd:新建用户密码 3)customData:存放一些用户相关的自定义数据,可忽略 4)roles:数据类型,配置用户的权限 示例:创建一个管理员账户
# mongo --host=10.10.10.11 --port=27017 > show dbs; admin 0.000GB collectest 0.000GB config 0.000GB local 0.000GB > > use admin switched to db admin > > db.createUser({"user":"root","pwd":"123456","roles":[{"role":"root","db":"admin"}]}); Successfully added user: { "user" : "root", "roles" : [ { "role" : "root", "db" : "admin" } ] }查看用户:
# 方法一 > use admin; switched to db admin > > show users; { "_id" : "admin.root", "userId" : UUID("d7280144-2886-45eb-95f3-1965be4eb7fe"), "user" : "root", "db" : "admin", "roles" : [ { "role" : "root", "db" : "admin" } ], "mechanisms" : [ "SCRAM-SHA-1", "SCRAM-SHA-256" ] } # 方法二 > use admin; switched to db admin > > show tables; system.users system.version > > db.system.users.find() { "_id" : "admin.root", "userId" : UUID("d7280144-2886-45eb-95f3-1965be4eb7fe"), "user" : "root", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "u2nQBHuC2P367Qo5mLhcRw==", "storedKey" : "0ccLsqhpWUyCdAoQKZQNNHwvj9g=", "serverKey" : "9Qxfsw+GCQMwUuyz9AlKRAX6zx0=" }, "SCRAM-SHA-256" : { "iterationCount" : 15000, "salt" : "rxajlRAv8zteEMm6r2Wx8GFY1ShBeLjHUqJ7iA==", "storedKey" : "T9z/0GJ21cxJ4CvnNL+PBGkTYwdPu9YxmRo1CQ2tGp0=", "serverKey" : "UBVuzHOxfKADUdpxIhRBab2HwPdLhNL2yUZzyTXFRt0=" } }, "roles" : [ { "role" : "root", "db" : "admin" } ]2.2、服务端开启认证
修改配置文件:
# vim /usr/local/mongodb/conf/mongodb.conf dbpath=/usr/local/mongodb/data logpath=/usr/local/mongodb/log/mongodb.log bind_ip=0.0.0.0 port=27017 logappend=1 fork=1 auth=true #开启认证
重启服务:
# ps -ef |grep mongod root 6991 1 0 19:46 ? 00:00:10 mongod -f /usr/local/mongodb/conf/mongodb.conf root 7438 6395 0 20:14 pts/1 00:00:00 grep --color=auto mongod # kill -2 6991 # # mongod -f /usr/local/mongodb/conf/mongodb.conf
登陆测试:
# mongo --host=10.10.10.11 --port=27017 MongoDB shell version v4.4.1 connecting to: mongodb://10.10.10.11:27017/?compressors=disabled&gssapiServiceName=mongodb Implicit session: session { "id" : UUID("cb337048-a9c8-45ae-99aa-b0cb8cc7a163") } MongoDB server version: 4.4.1 > show dbs #查看 > > use admin #切换到admin库 switched to db admin > db.auth("root","123456") #进行认证 1 > show dbs; admin 0.000GB collectest 0.000GB config 0.000GB local 0.000GB添加一个普通用户:
创建普通用户可以在没有开启认证的时候添加,也可以在开启认证之后添加,但开启认证之后,必须使用有操作admin库的用户登录认证后才能操作。底层是将用户信息保存在了admin数据库的集合system.users中。
# 创建(切换)将来要操作的数据库articledb > use articledb switched to db articledb > > db.createUser({user:"user1",pwd:"1234",roles:[{role:"readWrite",db:"articledb"}]}) Successfully added user: { "user" : "user1", "roles" : [ { "role" : "readWrite", "db" : "articledb" } ] } # 测试是否可用 > db.auth("user1","1234") 12.3、客户端登录认证
方法1
先连接,在认证:
# mongo --host 10.10.10.11 --port 27017 MongoDB shell version v4.4.1 connecting to: mongodb://10.10.10.11:27017/?compressors=disabled&gssapiServiceName=mongodb Implicit session: session { "id" : UUID("4efbbc03-31b7-45ff-8b3a-5ce6f76ff1ca") } MongoDB server version: 4.4.1 > use admin switched to db admin > db.auth("root","123456") 1 > show dbs admin 0.000GB collectest 0.000GB config 0.000GB local 0.000GB方法2
连接时进行认证:
# mongo --host 10.10.10.11 --port 27017 --authenticationDatabase admin -u root -p 123456 MongoDB shell version v4.4.1 connecting to: mongodb://10.10.10.11:27017/?authSource=admin&c
相关内容
- SpringBoot整合MongoDB的实现步骤_MongoDB_
- 详解MongoDB的条件查询和排序_MongoDB_
- 分析MongoDB和MySQL各自的关键特性、差别和优势_MongoDB_
- MongoDB如何更新多级文档的数据_MongoDB_
- MongoDB orm框架的注意事项及简单使用_MongoDB_
- MongoDB 常用的crud操作语句_MongoDB_
- MongoDB数据库常用的10条操作命令_MongoDB_
- MongoDB数据库的安装步骤_MongoDB_
- MongoDB balancer的使用详解_MongoDB_
- MongoDB使用profile分析慢查询的步骤_MongoDB_
点击排行
本栏推荐
