Mongodb 之 安全权限控制

MongoDB3.0+的权限，网上搜出来的解决方法都是3.0如下的版本的，因此不适合3.0+以上的版本，因为这版本改变的有些大，解决了好久，终于解决，下面把解决的步骤以及思路分享给你们。

一,不使用 --auth

1.首先，不使用--auth参数启动MongoDB:

./mongod -config /opt/mongodb/conf/mongodb.conf

2.接着，在命令窗口中输入：

show dbs

看到只有一个local数据库，admin是不存在的(这是3.0以上版本改变了的)，咱们须要本身给他建立个admin数据库

3.打开 mongo shell：

./mongo  192.168.31.101:27017/admin

4.添加管理用户

use admin  
db.createUser(  
  {  
    user: "admin",  
pwd: "admin",  
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]  
  }  
)

roles 中的 db 参数是必须的，否则会报错：Error: couldn’t add user: Missing expected field “db”。另外，有不少文章记录的是使用 db.addUser(…) 方法，这个方法是旧版的，3.0中已经不存在

5.切换到admin下，查看刚才建立的用户：

show users  
或  
db.system.users.find()

{ "_id" : "admin.buru", "user" : "admin", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "gwVwuA/dXvxgSHavEnlyvA==", "storedKey" : "l2QEVTEujpkCuqDEKqfIWbSv4ms=", "serverKey" : "

 

怎么关闭 mongoDB？千万不要 kill -9 pid，能够 kill -2 pid 或 db.shutdownServer()

二，使用--auth

1.使用--auth参数启动MongoDB:

./mongod --auth -f /opt/mongodb/conf/mongodb.conf

2.再次打开 mongo shell：

./mongodb-linux-i686-3.0.0/bin/mongo  
use admin  
db.auth("admin","admin") #认证，返回1表示成功  
或  
./mongodb-linux-i686-3.0.0/bin/mongo -u admin -p admin --authenticationDatabase admin

此时

show collections

报错

2017-10-17T10:15:56.011+0800 EQUERYError: listCollections failed: {  
"ok" : 0,  
"errmsg" : "not authorized on admin to execute command { listCollections: 1.0 }",  
"code" : 13  
}  
  at Error (<anonymous>)  
  at DB._getCollectionInfosCommand (src/mongo/shell/db.js:643:15)  
  at DB.getCollectionInfos (src/mongo/shell/db.js:655:20)  
  at DB.getCollectionNames (src/mongo/shell/db.js:666:17)  
  at shellHelper.show (src/mongo/shell/utils.js:625:12)  
  at shellHelper (src/mongo/shell/utils.js:524:36)  
  at (shellhelp2):1:1 at src/mongo/shell/db.js:643

由于，用户admin只有用户管理的权限

3.下面建立用户，用户都跟着库走，建立的用户都是

use test  
db.createUser(  
 {  
   user: "test1",  
pwd: "test1",  
   roles: [  
      { role: "readWrite", db: "test" }  
   ]  
 }  
)

4.查看刚刚建立的用户

show users

{  
"_id" : "test.test1",  
"user" : "test1",  
"db" : "test",  
"roles" : [  
    {  
"role" : "readWrite",  
"db" : "test"  
    }  
  ]  
}

5.查看整个mongoDB所有的用户：

use admin  
db.system.users.find()

use admin  
db.system.users.find()  
  
{ "_id" : "admin.admin", "user" : "admin", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "gwVwuA/dXvxgSHavEnlyvA==", "storedKey" : "l2QEVTEujpkCuqDEKqfIWbSv4ms=", "serverKey" : "M1ofNKXg2sNCsFrBJbX4pXbSgvg=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }  
{ "_id" : "test.test1", "user" : "test1", "db" : "test", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "//xy1V1fbqEHC1gzQqZHGQ==", "storedKey" : "ZS/o54zzl/FdcXLQJ98KdAVTfF0=", "serverKey" : "iIpNYz2Gk8KhyK3zgz6muBt0PI4=" } }, "roles" : [ { "role" : "readWrite", "db" : "test" } ] }

6.建立完毕，验证一下：

use admin  
show collections

2017-10-17T10:30:06.461+0800 EQUERYError: listCollections failed: {  
"ok" : 0,  
"errmsg" : "not authorized on buru to execute command { listCollections: 1.0 }",  
"code" : 13  
}  
  at Error (<anonymous>)  
  at DB._getCollectionInfosCommand (src/mongo/shell/db.js:643:15)  
  at DB.getCollectionInfos (src/mongo/shell/db.js:655:20)  
  at DB.getCollectionNames (src/mongo/shell/db.js:666:17)  
  at shellHelper.show (src/mongo/shell/utils.js:625:12)  
  at shellHelper (src/mongo/shell/utils.js:524:36)  
  at (shellhelp2):1:1 at src/mongo/shell/db.js:643

7.显然没权限，先auth：

db.auth("test1","test1")  
1  
show collections  
news  
system.indexes

完毕！

 

 

注意：

 

Read：容许用户读取指定数据库
readWrite：容许用户读写指定数据库
backup,retore:在进行备份、恢复时能够单独指定的角色，在db.createUser()方法中roles里面的db必须写成是admin库，要否则会 报错
dbAdmin：容许用户在指定数据库中执行管理函数，如索引建立、删除，查看统计或访问system.profile
userAdmin：容许用户向system.users集合写入，能够找指定数据库里建立、删除和管理用户
clusterAdmin：只在admin数据库中可用，赋予用户全部分片和复制集相关函数的管理权限。
readAnyDatabase：只在admin数据库中可用，赋予用户全部数据库的读权限
readWriteAnyDatabase：只在admin数据库中可用，赋予用户全部数据库的读写权限
userAdminAnyDatabase：只在admin数据库中可用，赋予用户全部数据库的userAdmin权限，
dbAdminAnyDatabase：只在admin数据库中可用，赋予用户全部数据库的dbAdmin权限。
root：只在admin数据库中可用。超级帐号，超级权限