您好,登錄后才能下訂單哦!
這篇文章主要講解了“MongoDB的安全認證是什么”,文中的講解內容簡單清晰,易于學習與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學習“MongoDB的安全認證是什么”吧!
為了強制開啟用戶訪問控制(用戶驗證),則需要在MongoDB
實例啟動時使用選項--auth
或在指定啟動配置文件中添加auth=true
。
啟用訪問控制:MongoDB
使用的是基于角色的訪問控制(Role-Based Access Control,RBAC)
來管理用戶對實例的訪問。通過對用戶授予一個或多個角色來控制用戶訪問數據庫資源的權限和數據庫操作的權限,在對用戶分配角色之前,用戶無法訪問實例。
角色:在MongoDB
中通過角色對用戶授予相應數據庫資源的操作權限,每個角色當中的權限可以顯示指定,也可以通過集成其他角色的權限,或者兩者都存在的權限。
權限:權限由指定的數據庫(resource)以及允許在運行資源上進行的操作(action)組成。資源(resource)包括:數據庫、集合、部分集合和集群;操作(action)包括:對資源的增、刪、改、查(CRUD)操作。
在角色定義時可以包含一個或多個已存在的角色,新創建的角色會繼承包含的角色所有的權限。在同一個數據庫中,新創建角色可以繼承其他角色的權限,在admin
數據庫中創建的角色可以繼承在其它任意數據庫中的角色的權限。
角色權限的查看,可以通過如下的命令進行查看:
# 查詢所有角色權限(僅用戶自定義角色) > db.runCommand({ rolesInfo: 1 }) # 查詢所有角色權限(包含內置角色) > db.runCommand({ rolesInfo: 1, showBuiltinRoles: true }) # 查詢當前數據庫中的某角色的權限 > db.runCommand({ rolesInfo: "<rolename>" }) # 查詢其它數據庫中指定的角色權限 > db.runCommand({ rolesInfo: { role: "<rolename>", db: "<database>" } } # 查詢多個角色權限 > db.runCommand({ rolesInfo: [ "<rolename>", { role: "<rolename>", db: "<database>" }, ... ] })
示例:
> db.runCommand({rolesInfo:1, showBuiltinRoles:true}) { "roles" : [ { "role" : "__queryableBackup", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "__system", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "backup", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "clusterAdmin", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "clusterManager", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "clusterMonitor", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "dbAdmin", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "dbAdminAnyDatabase", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "dbOwner", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "enableSharding", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "hostManager", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "read", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "readAnyDatabase", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "readWrite", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "readWriteAnyDatabase", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "restore", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "root", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "userAdmin", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }, { "role" : "userAdminAnyDatabase", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] } ], "ok" : 1 }
數據庫用戶角色:read
、readWrite
數據庫管理角色:dbAdmin
、dbOwner
、userAdmin
集群管理角色:clusterAdmin
、clusterManager
、clusterMonitor
所有數據庫用戶角色:readAnyDatabase
、readWriteAnyDatabase
、userAdminAnyDatabase
、dbAdminAnyDatabase
備份恢復角色:backup
、restore
超級用戶角色:root
內部角色:system
角色說明:
角色 | 權限描述 |
---|---|
read | 可以讀取指定數據庫中任何數據。 |
readWrite | 可以讀寫指定數據庫中任何數據,包括創建、重命名、刪除集合 |
readAnyDatabase | 可以讀取所有數據庫中任何數據(除了數據庫config和local之外) |
readWriteAnyDatabase | 可以讀寫所有數據庫中任何數據(除了數據庫config和local之外) |
userAdminAnyDatabase | 可以在指定數據庫創建和修改用戶(除了數據庫config和local之外) |
dbAdminAnyDatabase | 可以讀取任何數據庫以及對數據庫進行清理、修改、壓縮、獲取統計信息、執行檢查等操作(除了數據庫config和local之外) |
dbAdmin | 可以讀取指定數據庫以及對數據庫進行清理、修改、壓縮、獲取統計信息、執行檢查等操作 |
userAdmin | 可以在指定數據庫創建和修改用戶 |
clusterAdmin | 可以對整個集群或數據庫系統進行管理操作 |
backup | 備份MongoDB數據最小的權限 |
restore | 從備份文件中還原恢復MongoDB數據(除了system.profile集合)的權限 |
root | 超級賬戶,超級權限 |
創建用戶格式如下:
db.createUser({ user:"<name>", pwd:"<password>", customData:{<any Object Data}, roles:[ {role:"<role>",db:"database"}, ... ] }) 備注: 1)user:新建用戶名 2)pwd:新建用戶密碼 3)customData:存放一些用戶相關的自定義數據,可忽略 4)roles:數據類型,配置用戶的權限
示例:創建一個管理員賬戶
# mongo --host=10.10.10.11 --port=27017 > show dbs; admin 0.000GB collectest 0.000GB config 0.000GB local 0.000GB > > use admin switched to db admin > > db.createUser({"user":"root","pwd":"123456","roles":[{"role":"root","db":"admin"}]}); Successfully added user: { "user" : "root", "roles" : [ { "role" : "root", "db" : "admin" } ] }
查看用戶:
# 方法一 > use admin; switched to db admin > > show users; { "_id" : "admin.root", "userId" : UUID("d7280144-2886-45eb-95f3-1965be4eb7fe"), "user" : "root", "db" : "admin", "roles" : [ { "role" : "root", "db" : "admin" } ], "mechanisms" : [ "SCRAM-SHA-1", "SCRAM-SHA-256" ] } # 方法二 > use admin; switched to db admin > > show tables; system.users system.version > > db.system.users.find() { "_id" : "admin.root", "userId" : UUID("d7280144-2886-45eb-95f3-1965be4eb7fe"), "user" : "root", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "u2nQBHuC2P367Qo5mLhcRw==", "storedKey" : "0ccLsqhpWUyCdAoQKZQNNHwvj9g=", "serverKey" : "9Qxfsw+GCQMwUuyz9AlKRAX6zx0=" }, "SCRAM-SHA-256" : { "iterationCount" : 15000, "salt" : "rxajlRAv8zteEMm6r2Wx8GFY1ShBeLjHUqJ7iA==", "storedKey" : "T9z/0GJ21cxJ4CvnNL+PBGkTYwdPu9YxmRo1CQ2tGp0=", "serverKey" : "UBVuzHOxfKADUdpxIhRBab2HwPdLhNL2yUZzyTXFRt0=" } }, "roles" : [ { "role" : "root", "db" : "admin" } ]
修改配置文件:
# vim /usr/local/mongodb/conf/mongodb.conf dbpath=/usr/local/mongodb/data logpath=/usr/local/mongodb/log/mongodb.log bind_ip=0.0.0.0 port=27017 logappend=1 fork=1 auth=true #開啟認證
重啟服務:
# ps -ef |grep mongod root 6991 1 0 19:46 ? 00:00:10 mongod -f /usr/local/mongodb/conf/mongodb.conf root 7438 6395 0 20:14 pts/1 00:00:00 grep --color=auto mongod # kill -2 6991 # # mongod -f /usr/local/mongodb/conf/mongodb.conf
登陸測試:
# mongo --host=10.10.10.11 --port=27017 MongoDB shell version v4.4.1 connecting to: mongodb://10.10.10.11:27017/?compressors=disabled&gssapiServiceName=mongodb Implicit session: session { "id" : UUID("cb337048-a9c8-45ae-99aa-b0cb8cc7a163") } MongoDB server version: 4.4.1 > show dbs #查看 > > use admin #切換到admin庫 switched to db admin > db.auth("root","123456") #進行認證 1 > show dbs; admin 0.000GB collectest 0.000GB config 0.000GB local 0.000GB
添加一個普通用戶:
創建普通用戶可以在沒有開啟認證的時候添加,也可以在開啟認證之后添加,但開啟認證之后,必須使用有操作admin
庫的用戶登錄認證后才能操作。底層是將用戶信息保存在了admin
數據庫的集合system.users
中。
# 創建(切換)將來要操作的數據庫articledb > use articledb switched to db articledb > > db.createUser({user:"user1",pwd:"1234",roles:[{role:"readWrite",db:"articledb"}]}) Successfully added user: { "user" : "user1", "roles" : [ { "role" : "readWrite", "db" : "articledb" } ] } # 測試是否可用 > db.auth("user1","1234") 1
方法1
先連接,在認證:
# mongo --host 10.10.10.11 --port 27017 MongoDB shell version v4.4.1 connecting to: mongodb://10.10.10.11:27017/?compressors=disabled&gssapiServiceName=mongodb Implicit session: session { "id" : UUID("4efbbc03-31b7-45ff-8b3a-5ce6f76ff1ca") } MongoDB server version: 4.4.1 > use admin switched to db admin > db.auth("root","123456") 1 > show dbs admin 0.000GB collectest 0.000GB config 0.000GB local 0.000GB
方法2
連接時進行認證:
# mongo --host 10.10.10.11 --port 27017 --authenticationDatabase admin -u root -p 123456 MongoDB shell version v4.4.1 connecting to: mongodb://10.10.10.11:27017/?authSource=admin&compressors=disabled&gssapiServiceName=mongodb Implicit session: session { "id" : UUID("0848b5d0-fb56-40eb-9b37-542682fd6ada") } MongoDB server version: 4.4.1 ...... > > show dbs admin 0.000GB collectest 0.000GB config 0.000GB local 0.000GB
參數說明:
--host
:連接的主機地址
--port
:連接的端口
--authenticationDatabase
:指定連接到哪個庫。當登錄是指定用戶密碼時,必須指定對應的數據庫!
-u
:用戶名
-p
:密碼
對于搭建好的mongodb
副本集,為了安全,啟動安全認證,使用賬戶密碼登錄。
對副本集執行訪問控制需要配置兩個方面:
1)副本集和共享集群的各個節點成員之間使用內部身份驗證,可以使用秘鑰文件或x.509
證書。秘鑰文件比較簡單。
2)使用客戶端連接到mongodb
集群時,可開啟訪問授權。對于集群外部的訪問。如通過可視化客戶端、或者通過代碼連接的時候,需要開啟授權。
在主節點添加管理賬戶,副本集會自動同步。
myrs:PRIMARY> use admin switched to db admin myrs:PRIMARY> db.createUser({user:"root",pwd:"123456",roles:[{role:"root",db:"admin"}]}) Successfully added user: { "user" : "root", "roles" : [ { "role" : "root", "db" : "admin" } ] }
備注:
該步驟也可以在開啟認證之后,但需要通過localhost
登錄才允許添加用戶,用戶數據也會自動同步到副本集。后續再創建其他用戶,都已使用該超管用戶創建。
生成一個key文件到當前文件夾中。
可以使用任何方法生成秘鑰文件,例如,一下使用openssl
生成密碼文件,然后使用chmod
來更改文件權限,僅為文件所有這提供讀取權限。
# openssl rand -base64 90 -out ./mongo.keyfile # chmod 400 ./mongo.keyfile # ll mongo.keyfile -r--------. 1 root root 122 Nov 17 16:27 mongo.keyfile
備注:
所有副本集節點都必須使用同一份keyfile
,一般在一臺機器上生成,然后拷貝到其他機器上,且必須有讀的權限,否則將來會報錯:permissions on /mongodb/replica_sets/myrs_27017/mongo.keyfile are too open
一般情況下和配置文件放置在一起,方便查找。這里都copy
到各個節點的配置文件目錄
# cp mongo.keyfile /data/replica_sets/myrs_27017/ # cp mongo.keyfile /data/replica_sets/myrs_27018/ # cp mongo.keyfile /data/replica_sets/myrs_27019/
分別編輯幾個服務的mongod.conf
文件,添加相關內容:
# vim /data/replica_sets/myrs_27017/mongod.conf security: #keyfile鑒權文件 keyFile: /data/replica_sets/myrs_27017/mongo.keyfile #開啟認證方式運行 authorization: enabled # vim /data/replica_sets/myrs_27018/mongod.conf security: #keyfile鑒權文件 keyFile: /data/replica_sets/myrs_27018/mongo.keyfile #開啟認證方式運行 authorization: enabled # vim /data/replica_sets/myrs_27019/mongod.conf security: #keyfile鑒權文件 keyFile: /data/replica_sets/myrs_27019/mongo.keyfile #開啟認證方式運行 authorization: enabled
如果副本集是開啟狀態,則先分別關閉副本集中的每個mongod
,從次節點開始。直到副本集的所有成員都離線,包括任何仲裁者。主節點必須是最后一個成員關閉,以避免潛在的回滾。
# ps -ef |grep mongod root 2649 1 1 11:20 ? 00:04:44 mongod -f /data/replica_sets/myrs_27017/mongod.conf root 2728 1 1 11:20 ? 00:05:21 mongod -f /data/replica_sets/myrs_27018/mongod.conf root 4534 1 0 14:13 ? 00:01:07 mongod -f /data/replica_sets/myrs_27019/mongod.conf # kill -2 2649 4534 2728
分別啟動副本集:
# mongod -f /data/replica_sets/myrs_27017/mongod.conf about to fork child process, waiting until server is ready for connections. forked process: 6287 child process started successfully, parent exiting # # mongod -f /data/replica_sets/myrs_27018/mongod.conf about to fork child process, waiting until server is ready for connections. forked process: 6365 child process started successfully, parent exiting # # mongod -f /data/replica_sets/myrs_27019/mongod.conf about to fork child process, waiting until server is ready for connections. forked process: 6456 child process started successfully, parent exiting
查看進程情況:
# ps -ef |grep mongo root 6287 1 3 16:40 ? 00:00:02 mongod -f /data/replica_sets/myrs_27017/mongod.conf root 6365 1 3 16:41 ? 00:00:02 mongod -f /data/replica_sets/myrs_27018/mongod.conf root 6456 1 2 16:41 ? 00:00:01 mongod -f /data/replica_sets/myrs_27019/mongod.conf
連接主節點測試:
先連接,再認證
# mongo --host 10.10.10.11 --port 27017 MongoDB shell version v4.4.1 connecting to: mongodb://10.10.10.11:27017/?compressors=disabled&gssapiServiceName=mongodb Implicit session: session { "id" : UUID("e1218d07-5094-468d-bdfe-f1d3e3815281") } MongoDB server version: 4.4.1 myrs:PRIMARY> show dbs myrs:PRIMARY> db.auth("root","123456") 1 myrs:PRIMARY> show dbs admin 0.000GB collectest 0.000GB config 0.000GB local 0.001GB test 0.000GB
連接時進行認證:
# mongo --host 10.10.10.11 --port 27017 --authenticationDatabase admin -u root -p 123456 --- myrs:PRIMARY> show dbs admin 0.000GB collectest 0.000GB config 0.000GB local 0.001GB test 0.000GB
連接副本節點測試:
# mongo --host 10.10.10.11 --port 27018 --authenticationDatabase admin -u root -p 123456 myrs:SECONDARY> show dbs #查看數據庫,這里不能查看是因為默認副本節點不能查詢數據,需要開啟查詢權限 uncaught exception: Error: listDatabases failed:{ "topologyVersion" : { "processId" : ObjectId("5fb38ca9ae9c791f8008eb9a"), "counter" : NumberLong(4) }, "operationTime" : Timestamp(1605603187, 1), "ok" : 0, "errmsg" : "not master and slaveOk=false", "code" : 13435, "codeName" : "NotMasterNoSlaveOk", "$clusterTime" : { "clusterTime" : Timestamp(1605603187, 1), "signature" : { "hash" : BinData(0,"hCt+wCrLo2uwZucZsLN0id+Rnh0="), "keyId" : NumberLong("6893051287466672133") } } } : _getErrorWithCode@src/mongo/shell/utils.js:25:13 Mongo.prototype.getDBs/<@src/mongo/shell/mongo.js:147:19 Mongo.prototype.getDBs@src/mongo/shell/mongo.js:99:12 shellHelper.show@src/mongo/shell/utils.js:937:13 shellHelper@src/mongo/shell/utils.js:819:15 @(shellhelp2):1:1 myrs:SECONDARY> myrs:SECONDARY> rs.secondaryOk() #開啟副本集讀取權限 myrs:SECONDARY> myrs:SECONDARY> show dbs #再次查看 admin 0.000GB collectest 0.000GB config 0.000GB local 0.001GB test 0.000GB
添加普通用戶對指定庫有讀寫權限:
//連接主節點 # mongo --host 10.10.10.11 --port 27017 --authenticationDatabase admin -u root -p 123456 myrs:PRIMARY> use collectest #切換到collectest庫 switched to db collectest myrs:PRIMARY> myrs:PRIMARY> db.createUser({user:"u_test",pwd:"123",roles:[{role:"readWrite", db:"collectest"}]}) #創建用戶u_test對collectest庫有讀寫權限 Successfully added user: { "user" : "u_test", "roles" : [ { "role" : "readWrite", "db" : "collectest" } ] } myrs:PRIMARY>
使用普通用戶登錄并查詢數據:
# mongo --host 10.10.10.11 --port 27017 --authenticationDatabase collectest -u u_test -p 123 ... myrs:PRIMARY> myrs:PRIMARY> show dbs collectest 0.000GB myrs:PRIMARY> myrs:PRIMARY> use collectest switched to db collectest myrs:PRIMARY> myrs:PRIMARY> show collections collectest myrs:PRIMARY> myrs:PRIMARY> db.collectest.find() { "_id" : ObjectId("5faa3432f6e79c62c00e4d72"), "name" : "張三", "sex" : "男", "age" : 22, "userid" : 1001, "createdatetime" : ISODate("2020-11-10T06:33:22.459Z") } { "_id" : ObjectId("5facec10cca53c48154d261c"), "name" : "小白", "sex" : "女", "age" : 20, "userid" : 1002, "createdatetime" : ISODate("2020-11-12T08:02:24.915Z") } { "_id" : ObjectId("5facf32dfb5fe16aaf699d7d"), "name" : "小嘿", "sex" : "女", "age" : 21, "userid" : 1002, "createdatetime" : ISODate("2020-11-12T08:32:45.919Z") } myrs:PRIMARY> #查詢一個普通用戶沒有權限的庫,則會提示響應警告,并無法查看成功。 myrs:PRIMARY> use admin switched to db admin myrs:PRIMARY> show collections Warning: unable to run listCollections, attempting to approximate collection names by parsing connectionStatus
感謝各位的閱讀,以上就是“MongoDB的安全認證是什么”的內容了,經過本文的學習后,相信大家對MongoDB的安全認證是什么這一問題有了更深刻的體會,具體使用情況還需要大家實踐驗證。這里是億速云,小編將為大家推送更多相關知識點的文章,歡迎關注!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。