MongoDB--安全认证
MongoDB的用户和角色权限简介
默认状况下,
MongoDB实例启动运行时是没有启用用户访问权限控制的,也就是说,在实例本机服务器上均可以随意链接到实例进行各类操做,MongoDB不会对链接客户端进行用户验证。mongodb为了强制开启用户访问控制(用户验证),则须要在
MongoDB实例启动时使用选项--auth或在指定启动配置文件中添加auth=true。shell
- 启用访问控制:
MongoDB使用的是基于角色的访问控制(Role-Based Access Control,RBAC)来管理用户对实例的访问。经过对用户授予一个或多个角色来控制用户访问数据库资源的权限和数据库操做的权限,在对用户分配角色以前,用户没法访问实例。- 角色:在
MongoDB中经过角色对用户授予相应数据库资源的操做权限,每一个角色当中的权限能够显示指定,也能够经过集成其余角色的权限,或者二者都存在的权限。- 权限:权限由指定的数据库(resource)以及容许在运行资源上进行的操做(action)组成。
- 资源(resource)包括:数据库、集合、部分集合和集群;
- 操做(action)包括:对资源的增、删、改、查(CRUD)操做。
在角色定义时能够包含一个或多个已存在的角色,新建立的角色会继承包含的角色全部的权限。在同一个数据库中,新建立角色能够继承其余角色的权限,在
admin数据库中建立的角色能够继承在其它任意数据库中的角色的权限。数据库
角色权限的查看,能够经过以下的命令进行查看:vim
# 查询全部角色权限(仅用户自定义角色)
> db.runCommand({ rolesInfo: 1 })
# 查询全部角色权限(包含内置角色)
> db.runCommand({ rolesInfo: 1, showBuiltinRoles: true })
# 查询当前数据库中的某角色的权限
> db.runCommand({ rolesInfo: "<rolename>" })
# 查询其它数据库中指定的角色权限
> db.runCommand({ rolesInfo: { role: "<rolename>", db: "<database>" } }
# 查询多个角色权限
> db.runCommand({
rolesInfo: [
"<rolename>", { role: "<rolename>", db: "<database>" },
...
]
})
示例:api
查看全部内置角色:安全
> db.runCommand({rolesInfo:1, showBuiltinRoles:true})
{
"roles" : [
{
"role" : "__queryableBackup",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "__system",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "backup",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "clusterAdmin",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "clusterManager",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "clusterMonitor",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "dbAdmin",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "dbAdminAnyDatabase",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "dbOwner",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "enableSharding",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "hostManager",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "read",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "readAnyDatabase",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "readWrite",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "readWriteAnyDatabase",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "restore",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "root",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "userAdmin",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
},
{
"role" : "userAdminAnyDatabase",
"db" : "admin",
"isBuiltin" : true,
"roles" : [ ],
"inheritedRoles" : [ ]
}
],
"ok" : 1
}
常见的内置角色
- 数据库用户角色:
read、readWrite - 数据库管理角色:
dbAdmin、dbOwner、userAdmin - 集群管理角色:
clusterAdmin、clusterManager、clusterMonitor - 全部数据库用户角色:
readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase - 备份恢复角色:
backup、restore - 超级用户角色:
root - 内部角色:
system
📝 角色说明:bash
| 角色 | 权限描述 |
|---|---|
read |
能够读取指定数据库中任何数据。 |
readWrite |
能够读写指定数据库中任何数据,包括建立、重命名、删除集合 |
readAnyDatabase |
能够读取全部数据库中任何数据(除了数据库config和local以外) |
readWriteAnyDatabase |
能够读写全部数据库中任何数据(除了数据库config和local以外) |
userAdminAnyDatabase |
能够在指定数据库建立和修改用户(除了数据库config和local以外) |
dbAdminAnyDatabase |
能够读取任何数据库以及对数据库进行清理、修改、压缩、获取统计信息、执行检查等操做(除了数据库config和local以外) |
dbAdmin |
能够读取指定数据库以及对数据库进行清理、修改、压缩、获取统计信息、执行检查等操做 |
userAdmin |
能够在指定数据库建立和修改用户 |
clusterAdmin |
能够对整个集群或数据库系统进行管理操做 |
backup |
备份MongoDB数据最小的权限 |
restore |
从备份文件中还原恢复MongoDB数据(除了system.profile集合)的权限 |
root |
超级帐户,超级权限 |
单实例环境
建立用户
✏️ 建立用户格式以下:服务器
db.createUser({
user:"<name>",
pwd:"<password>",
customData:{<any Object Data},
roles:[
{role:"<role>",db:"database"},
...
]
})
备注:
1)user:新建用户名
2)pwd:新建用户密码
3)customData:存放一些用户相关的自定义数据,可忽略
4)roles:数据类型,配置用户的权限
示例:建立一个管理员帐户session
# mongo --host=10.10.10.11 --port=27017
> show dbs;
admin 0.000GB
collectest 0.000GB
config 0.000GB
local 0.000GB
>
> use admin
switched to db admin
>
> db.createUser({"user":"root","pwd":"123456","roles":[{"role":"root","db":"admin"}]});
Successfully added user: {
"user" : "root",
"roles" : [
{
"role" : "root",
"db" : "admin"
}
]
}
✏️ 查看用户app
# 方法一
> use admin;
switched to db admin
>
> show users;
{
"_id" : "admin.root",
"userId" : UUID("d7280144-2886-45eb-95f3-1965be4eb7fe"),
"user" : "root",
"db" : "admin",
"roles" : [
{
"role" : "root",
"db" : "admin"
}
],
"mechanisms" : [
"SCRAM-SHA-1",
"SCRAM-SHA-256"
]
}
# 方法二
> use admin;
switched to db admin
>
> show tables;
system.users
system.version
>
> db.system.users.find()
{ "_id" : "admin.root", "userId" : UUID("d7280144-2886-45eb-95f3-1965be4eb7fe"), "user" : "root", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "u2nQBHuC2P367Qo5mLhcRw==", "storedKey" : "0ccLsqhpWUyCdAoQKZQNNHwvj9g=", "serverKey" : "9Qxfsw+GCQMwUuyz9AlKRAX6zx0=" }, "SCRAM-SHA-256" : { "iterationCount" : 15000, "salt" : "rxajlRAv8zteEMm6r2Wx8GFY1ShBeLjHUqJ7iA==", "storedKey" : "T9z/0GJ21cxJ4CvnNL+PBGkTYwdPu9YxmRo1CQ2tGp0=", "serverKey" : "UBVuzHOxfKADUdpxIhRBab2HwPdLhNL2yUZzyTXFRt0=" } }, "roles" : [ { "role" : "root", "db" : "admin" } ]
服务端开启认证
✏️ 修改配置文件
# vim /usr/local/mongodb/conf/mongodb.conf dbpath=/usr/local/mongodb/data logpath=/usr/local/mongodb/log/mongodb.log bind_ip=0.0.0.0 port=27017 logappend=1 fork=1 auth=true #开启认证
✏️ 重启服务
# ps -ef |grep mongod root 6991 1 0 19:46 ? 00:00:10 mongod -f /usr/local/mongodb/conf/mongodb.conf root 7438 6395 0 20:14 pts/1 00:00:00 grep --color=auto mongod # kill -2 6991 # # mongod -f /usr/local/mongodb/conf/mongodb.conf
✏️ 登录测试
# mongo --host=10.10.10.11 --port=27017
MongoDB shell version v4.4.1
connecting to: mongodb://10.10.10.11:27017/?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("cb337048-a9c8-45ae-99aa-b0cb8cc7a163") }
MongoDB server version: 4.4.1
> show dbs #查看
>
> use admin #切换到admin库
switched to db admin
> db.auth("root","123456") #进行认证
1
> show dbs;
admin 0.000GB
collectest 0.000GB
config 0.000GB
local 0.000GB
✏️ 添加一个普通用户
建立普通用户能够在没有开启认证的时候添加,也能够在开启认证以后添加,但开启认证以后,必须使用有操做
admin库的用户登陆认证后才能操做。底层是将用户信息保存在了admin数据库的集合system.users中。
# 建立(切换)未来要操做的数据库articledb
> use articledb
switched to db articledb
>
> db.createUser({user:"user1",pwd:"1234",roles:[{role:"readWrite",db:"articledb"}]})
Successfully added user: {
"user" : "user1",
"roles" : [
{
"role" : "readWrite",
"db" : "articledb"
}
]
}
# 测试是否可用
> db.auth("user1","1234")
1
客户端登陆认证
✏️ 方法1
先链接,在认证
# mongo --host 10.10.10.11 --port 27017
MongoDB shell version v4.4.1
connecting to: mongodb://10.10.10.11:27017/?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("4efbbc03-31b7-45ff-8b3a-5ce6f76ff1ca") }
MongoDB server version: 4.4.1
> use admin
switched to db admin
> db.auth("root","123456")
1
> show dbs
admin 0.000GB
collectest 0.000GB
config 0.000GB
local 0.000GB
✏️ 方法2
链接时进行认证
# mongo --host 10.10.10.11 --port 27017 --authenticationDatabase admin -u root -p 123456
MongoDB shell version v4.4.1
connecting to: mongodb://10.10.10.11:27017/?authSource=admin&compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("0848b5d0-fb56-40eb-9b37-542682fd6ada") }
MongoDB server version: 4.4.1
......
>
> show dbs
admin 0.000GB
collectest 0.000GB
config 0.000GB
local 0.000GB
参数说明:
--host:链接的主机地址--port:链接的端口--authenticationDatabase:指定链接到哪一个库。当登陆是指定用户密码时,必须指定对应的数据库!-u:用户名-p:密码
副本集环境
对于搭建好的
mongodb副本集,为了安全,启动安全认证,使用帐户密码登陆。对副本集执行访问控制须要配置两个方面:
1)副本集和共享集群的各个节点成员之间使用内部身份验证,可使用秘钥文件或
x.509证书。秘钥文件比较简单。2)使用客户端链接到
mongodb集群时,可开启访问受权。对于集群外部的访问。如经过可视化客户端、或者经过代码链接的时候,须要开启受权。
添加管理帐户
在主节点添加管理帐户,副本集会自动同步。
myrs:PRIMARY> use admin
switched to db admin
myrs:PRIMARY> db.createUser({user:"root",pwd:"123456",roles:[{role:"root",db:"admin"}]})
Successfully added user: {
"user" : "root",
"roles" : [
{
"role" : "root",
"db" : "admin"
}
]
}
备注:
该步骤也能够在开启认证以后,但须要经过localhost登陆才容许添加用户,用户数据也会自动同步到副本集。后续再建立其余用户,都已使用该超管用户建立。
建立副本集认证的key文件
✏️ 生成一个key文件到当前文件夹中。
可使用任何方法生成秘钥文件,例如,一下使用openssl生成密码文件,而后使用chmod来更改文件权限,仅为文件全部这提供读取权限。
# openssl rand -base64 90 -out ./mongo.keyfile # chmod 400 ./mongo.keyfile # ll mongo.keyfile -r--------. 1 root root 122 Nov 17 16:27 mongo.keyfile
备注:
全部副本集节点都必须使用同一份keyfile,通常在一台机器上生成,而后拷贝到其余机器上,且必须有读的权限,不然未来会报错:permissions on /mongodb/replica_sets/myrs_27017/mongo.keyfile are too open
通常状况下和配置文件放置在一块儿,方便查找。这里都copy到各个节点的配置文件目录
# cp mongo.keyfile /data/replica_sets/myrs_27017/ # cp mongo.keyfile /data/replica_sets/myrs_27018/ # cp mongo.keyfile /data/replica_sets/myrs_27019/
修改配置文件指定keyfile
分别编辑几个服务的
mongod.conf文件,添加相关内容
# vim /data/replica_sets/myrs_27017/mongod.conf
security:
#keyfile鉴权文件
keyFile: /data/replica_sets/myrs_27017/mongo.keyfile
#开启认证方式运行
authorization: enabled
# vim /data/replica_sets/myrs_27018/mongod.conf
security:
#keyfile鉴权文件
keyFile: /data/replica_sets/myrs_27018/mongo.keyfile
#开启认证方式运行
authorization: enabled
# vim /data/replica_sets/myrs_27019/mongod.conf
security:
#keyfile鉴权文件
keyFile: /data/replica_sets/myrs_27019/mongo.keyfile
#开启认证方式运行
authorization: enabled
重启副本集
若是副本集是开启状态,则先分别关闭副本集中的每一个
mongod,从次节点开始。直到副本集的全部成员都离线,包括任何仲裁者。主节点必须是最后一个成员关闭,以免潜在的回滚。
# ps -ef |grep mongod root 2649 1 1 11:20 ? 00:04:44 mongod -f /data/replica_sets/myrs_27017/mongod.conf root 2728 1 1 11:20 ? 00:05:21 mongod -f /data/replica_sets/myrs_27018/mongod.conf root 4534 1 0 14:13 ? 00:01:07 mongod -f /data/replica_sets/myrs_27019/mongod.conf # kill -2 2649 4534 2728
分别启动副本集
# mongod -f /data/replica_sets/myrs_27017/mongod.conf about to fork child process, waiting until server is ready for connections. forked process: 6287 child process started successfully, parent exiting # # mongod -f /data/replica_sets/myrs_27018/mongod.conf about to fork child process, waiting until server is ready for connections. forked process: 6365 child process started successfully, parent exiting # # mongod -f /data/replica_sets/myrs_27019/mongod.conf about to fork child process, waiting until server is ready for connections. forked process: 6456 child process started successfully, parent exiting
查看进程状况
# ps -ef |grep mongo root 6287 1 3 16:40 ? 00:00:02 mongod -f /data/replica_sets/myrs_27017/mongod.conf root 6365 1 3 16:41 ? 00:00:02 mongod -f /data/replica_sets/myrs_27018/mongod.conf root 6456 1 2 16:41 ? 00:00:01 mongod -f /data/replica_sets/myrs_27019/mongod.conf
链接测试
链接主节点测试
✏️ 先链接,再认证
# mongo --host 10.10.10.11 --port 27017
MongoDB shell version v4.4.1
connecting to: mongodb://10.10.10.11:27017/?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("e1218d07-5094-468d-bdfe-f1d3e3815281") }
MongoDB server version: 4.4.1
myrs:PRIMARY> show dbs
myrs:PRIMARY> db.auth("root","123456")
1
myrs:PRIMARY> show dbs
admin 0.000GB
collectest 0.000GB
config 0.000GB
local 0.001GB
test 0.000GB
✏️ 链接时进行认证
# mongo --host 10.10.10.11 --port 27017 --authenticationDatabase admin -u root -p 123456 --- myrs:PRIMARY> show dbs admin 0.000GB collectest 0.000GB config 0.000GB local 0.001GB test 0.000GB
链接副本节点测试
# mongo --host 10.10.10.11 --port 27018 --authenticationDatabase admin -u root -p 123456
myrs:SECONDARY> show dbs #查看数据库,这里不能查看是由于默认副本节点不能查询数据,须要开启查询权限
uncaught exception: Error: listDatabases failed:{
"topologyVersion" : {
"processId" : ObjectId("5fb38ca9ae9c791f8008eb9a"),
"counter" : NumberLong(4)
},
"operationTime" : Timestamp(1605603187, 1),
"ok" : 0,
"errmsg" : "not master and slaveOk=false",
"code" : 13435,
"codeName" : "NotMasterNoSlaveOk",
"$clusterTime" : {
"clusterTime" : Timestamp(1605603187, 1),
"signature" : {
"hash" : BinData(0,"hCt+wCrLo2uwZucZsLN0id+Rnh0="),
"keyId" : NumberLong("6893051287466672133")
}
}
} :
_getErrorWithCode@src/mongo/shell/utils.js:25:13
Mongo.prototype.getDBs/<@src/mongo/shell/mongo.js:147:19
Mongo.prototype.getDBs@src/mongo/shell/mongo.js:99:12
shellHelper.show@src/mongo/shell/utils.js:937:13
shellHelper@src/mongo/shell/utils.js:819:15
@(shellhelp2):1:1
myrs:SECONDARY>
myrs:SECONDARY> rs.secondaryOk() #开启副本集读取权限
myrs:SECONDARY>
myrs:SECONDARY> show dbs #再次查看
admin 0.000GB
collectest 0.000GB
config 0.000GB
local 0.001GB
test 0.000GB
添加普通用户
✏️ 添加普通用户对指定库有读写权限
//链接主节点
# mongo --host 10.10.10.11 --port 27017 --authenticationDatabase admin -u root -p 123456
myrs:PRIMARY> use collectest #切换到collectest库
switched to db collectest
myrs:PRIMARY>
myrs:PRIMARY> db.createUser({user:"u_test",pwd:"123",roles:[{role:"readWrite", db:"collectest"}]}) #建立用户u_test对collectest库有读写权限
Successfully added user: {
"user" : "u_test",
"roles" : [
{
"role" : "readWrite",
"db" : "collectest"
}
]
}
myrs:PRIMARY>
✏️ 使用普通用户登陆并查询数据
# mongo --host 10.10.10.11 --port 27017 --authenticationDatabase collectest -u u_test -p 123
...
myrs:PRIMARY>
myrs:PRIMARY> show dbs
collectest 0.000GB
myrs:PRIMARY>
myrs:PRIMARY> use collectest
switched to db collectest
myrs:PRIMARY>
myrs:PRIMARY> show collections
collectest
myrs:PRIMARY>
myrs:PRIMARY> db.collectest.find()
{ "_id" : ObjectId("5faa3432f6e79c62c00e4d72"), "name" : "张三", "sex" : "男", "age" : 22, "userid" : 1001, "createdatetime" : ISODate("2020-11-10T06:33:22.459Z") }
{ "_id" : ObjectId("5facec10cca53c48154d261c"), "name" : "小白", "sex" : "女", "age" : 20, "userid" : 1002, "createdatetime" : ISODate("2020-11-12T08:02:24.915Z") }
{ "_id" : ObjectId("5facf32dfb5fe16aaf699d7d"), "name" : "小嘿", "sex" : "女", "age" : 21, "userid" : 1002, "createdatetime" : ISODate("2020-11-12T08:32:45.919Z") }
myrs:PRIMARY>
#查询一个普通用户没有权限的库,则会提示响应警告,并没有法查当作功。
myrs:PRIMARY> use admin
switched to db admin
myrs:PRIMARY> show collections
Warning: unable to run listCollections, attempting to approximate collection names by parsing connectionStatus
相关文章
- 1. MongoDB的安全与认证
- 2. mongodb开启安全认证
- 3. MongoDB安全及身份认证
- 4. MongoDB安全实战之Kerberos认证
- 5. MongoDB学习之--安全和认证
- 6. mongodb的管理员和安全认证
- 7. 安全认证安全认证_我的认证故事
- 8. MongoDB auth认证
- 9. MongoDB 安全认证(登录时,账户和密码的验证)
- 10. ASP.NET 安全认证
- 更多相关文章...
- • Docker 安装 MongoDB - Docker教程
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Composer 安装与使用
- • Tomcat学习笔记(史上最全tomcat学习笔记)
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章