MongoDB 作为时下最为热门的数据库,其安全验证也是必不可少的,否则一个没有验证的数据库暴露出去,任何人可随意操作,这将是非常危险的。不信请看以下各网友们的惨痛经历,你就明白了。
之所以会发生这些攻击,是因为 MongoDB 数据库其安全性并不高,且没有做好安全认证及数据备份导致的。但是反过来看,这也意味着通过几个简单的步骤,就可以轻松防止这些攻击。防止这类攻击最有效的办法就是启用身份验证、不允许远程访问或者添加 IP 访问限制。接下来我们就一起学习一下如何通过 身份验证 来进行对 MongoDB 的访问,从而解决以上问题的产生。
MongoDB 用户与权限管理
常用权限
| 权限 | 说明 |
|---|---|
| read | 允许用户读取指定数据库。 |
| readWrite | 允许用户读写指定数据库。 |
| dbAdmin | 允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问 system.profile。 |
| userAdmin | 允许用户向 system.users 集合写入,可以在指定数据库里创建、删除和管理用户。 |
| clusterAdmin | 必须在 admin 数据库中定义,赋予用户所有分片和复制集相关函数的管理权限。 |
| readAnyDatabase | 必须在 admin 数据库中定义,赋予用户所有数据库的读权限。 |
| readWriteAnyDatabase | 必须在 admin 数据库中定义,赋予用户所有数据库的读写权限。 |
| userAdminAnyDatabase | 必须在 admin 数据库中定义,赋予用户所有数据库的 userAdmin 权限。 |
| dbAdminAnyDatabase | 必须在 admin 数据库中定义,赋予用户所有数据库的 dbAdmin 权限。 |
| root | 必须在 admin 数据库中定义,超级账号,超级权限。 |
创建管理用户
MongoDB 有一个用户管理机制,简单描述为管理用户组,这个组的用户是专门为管理普通用户而设的,暂且称之为管理员。
管理员通常没有数据库的读写权限,只有操作用户的权限,我们只需要赋予管理员 userAdminAnyDatabase角色即可。另外管理员账户必须在 admin 数据库下创建。
由于用户被创建在哪个数据库下,就只能在哪个数据库登录,所以把所有的用户都创建在 admin 数据库下。这样我们切换数据库时就不需要频繁的进行登录了。
先
use admin切换至 admin 数据库进行登录,登录后再 use 切换其他数据库进行操作即可。第二次的 use 就不需要再次登录了。MongoDB 设定 use 第二个数据库时如果登录用户权限比较高就可以直接操作第二个数据库,而不需要登录。
切换数据库
管理员需要在 admin 数据库下创建,所以我们需要先切换至 admin 数据库。
查看用户
通过 db.system.users.find() 函数查看 admin 数据库中的所有用户信息。
目前 admin 数据库中并没有用户,所以查无结果。
创建用户
在 MongoDB 中可以使用 db.createUser({用户信息}) 函数创建用户。
1、db.createUser({ 2、 user: "", 3、 pwd: "", 4、 customData: { }, 5、 roles: [ 6、{ role: "", db: "" } | "", 7、 ... 8、 ] 9、});
-
user:用户名 -
pwd:密码 -
customData:存放用户相关的自定义数据,该属性也可忽略 -
roles:数组类型,配置用户的权限
示例如下:
| `1db.createUser({user:"uaad",pwd:"uaad",roles:[{role:"userAdminAnyDatabase",db:"admin"}]}) | |
|---|---|
重启服务
管理员账户创建完成以后,需要重新启动 MongoDB,并开启身份验证功能。
先通过 db.shutdownServer() 函数关闭服务。
本文是通过指定配置文件的方式启动的 MongoDB,所以修改配置信息,启用身份验证功能,然后重启服务。完整配置信息如下:
| # 数据文件存放目录
dbpath = /usr/local/mongodb/data/db
日志文件存放目录
logpath = /usr/local/mongodb/logs/mongodb.log
以追加的方式记录日志
logappend = true
端口默认为 27017
port = 27017
以守护进程的方式启用,即在后台运行
fork = true
对访问 IP 地址不做限制
bind_ip = 0.0.0.0
启动身份验证
| auth = true | |
|---|---|
身份认证
重启服务以后切换至 admin 数据库,此时再通过 db.system.users.find() 函数或者 show users 查看 admin 数据库中的所有用户信息时,就会返回以下信息。
使用认证函数 db.auth("用户名", "密码") 进行身份认证。返回结果 1,则表示认证成功,返回 0 则表示认证失败。
登录成功以后即可进行该用户所拥有的角色对应的权限的其他操作,比如 show users 再次查看所有用户信息。
创建普通用户
需求:创建一个 test 数据库,给这个数据库添加一个用户,用户名为 testuser,密码为 123456。并授予该用户对 test 数据库的读写操作权限。
管理员登录数据库
普通用户需要由管理员用户创建,所以先使用管理员用户登录数据库。
