概述

  MongoDB安全主要包括以下4個(gè)方面

  1、物理隔離

  系統(tǒng)不論設(shè)計(jì)的多么完善,在實(shí)施過程中,總會(huì)存在一些漏洞。如果能夠把不安全的使用方與MongoDB數(shù)據(jù)庫做物理上的隔離,即通過任何手段都不能連接到數(shù)據(jù)庫,這是最安全的防護(hù)。但,通常這是不現(xiàn)實(shí)的。一些重要的數(shù)據(jù)可能會(huì)保存下來,放置到物理隔離的機(jī)房中

  2、網(wǎng)絡(luò)隔離

  許多公司的開發(fā)機(jī)處于內(nèi)網(wǎng)環(huán)境中。即使數(shù)據(jù)庫存在漏洞,外部環(huán)境也沒有機(jī)會(huì)利用,因?yàn)楦緹o法訪問內(nèi)網(wǎng)

  3、防火墻隔離

  可以利用防火墻配置IP白名單,只允許某些IP訪問數(shù)據(jù)庫,也可以從一定程度上增加MongoDB的安全性

  4、用戶名密碼鑒權(quán)

  相對(duì)于以上3種方式,用戶名密碼鑒權(quán)機(jī)制是最常見的MongoDB安全措施。如果密碼設(shè)置的比較簡單,或者連接環(huán)境不是加密環(huán)境,很可能被第三方獲取到用戶名和密碼,從而造成MongoDB數(shù)據(jù)庫的危險(xiǎn)

 

權(quán)限認(rèn)證

  mongodb存儲(chǔ)所有的用戶信息在admin數(shù)據(jù)庫的集合system.users中,保存用戶名、密碼和數(shù)據(jù)庫信息。mongodb默認(rèn)不啟用權(quán)限認(rèn)證,只要能連接到該服務(wù)器,就可連接到mongod。若要啟用安全認(rèn)證,需要更改配置文件參數(shù)authorization,也可以簡寫為auth。

平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),游戲開發(fā),動(dòng)畫培訓(xùn)

  然后,重啟mongod。查看日志文件,發(fā)現(xiàn)權(quán)限認(rèn)證已經(jīng)開啟

平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),游戲開發(fā),動(dòng)畫培訓(xùn)

  但是,不使用用戶名和密碼依然可以連接到數(shù)據(jù)庫。這是因?yàn)?,我們還沒有創(chuàng)建用戶。在用戶創(chuàng)建,并且開啟權(quán)限認(rèn)證之后,如果不使用用戶名和密碼將不能夠連接到數(shù)據(jù)庫

 

角色管理

  在進(jìn)行用戶管理之前,首先要先了解角色管理

  MongoDB支持基于角色的訪問控制(RBAC)來管理對(duì)MongoDB系統(tǒng)的訪問。一個(gè)用戶可以被授權(quán)一個(gè)或者多個(gè):ref:角色 <roles> 以決定該用戶對(duì)數(shù)據(jù)庫資源和操作的訪問權(quán)限。在權(quán)限以外,用戶是無法訪問系統(tǒng)的

  數(shù)據(jù)庫角色在創(chuàng)建用戶中的role參數(shù)中設(shè)置。角色分為內(nèi)建角色和自定義角色

【內(nèi)建角色】

  MongoDB內(nèi)建角色包括以下幾類

  1、數(shù)據(jù)庫用戶角色

read:允許用戶讀取指定數(shù)據(jù)庫
readWrite:允許用戶讀寫指定數(shù)據(jù)庫

  2、數(shù)據(jù)庫管理員角色

dbAdmin:允許用戶進(jìn)行索引創(chuàng)建、刪除,查看統(tǒng)計(jì)或訪問system.profile,但沒有角色和用戶管理的權(quán)限
userAdmin:提供了在當(dāng)前數(shù)據(jù)庫中創(chuàng)建和修改角色和用戶的能力
dbOwner: 提供對(duì)數(shù)據(jù)庫執(zhí)行任何管理操作的能力。這個(gè)角色組合了readWrite、dbAdmin和userAdmin角色授予的特權(quán)。

  3、集群管理角色

clusterAdmin : 提供最強(qiáng)大的集群管理訪問。組合clusterManager、clusterMonitor和hostManager角色的能力。還提供了dropDatabase操作
clusterManager : 在集群上提供管理和監(jiān)視操作??梢栽L問配置和本地?cái)?shù)據(jù)庫,這些數(shù)據(jù)庫分別用于分片和復(fù)制clusterMonitor : 提供對(duì)監(jiān)控工具的只讀訪問,例如MongoDB云管理器和Ops管理器監(jiān)控代理。
hostManager : 提供監(jiān)視和管理服務(wù)器的能力。

  4、備份恢復(fù)角色

backup : 提供備份數(shù)據(jù)所需的能力,使用MongoDB云管理器備份代理、Ops管理器備份代理或使用mongodump
restore : 提供使用mongorestore恢復(fù)數(shù)據(jù)所需的能力

  5、所有數(shù)據(jù)庫角色

readAnyDatabase:只在admin數(shù)據(jù)庫中可用,賦予用戶所有數(shù)據(jù)庫的讀權(quán)限 
readWriteAnyDatabase:只在admin數(shù)據(jù)庫中可用,賦予用戶所有數(shù)據(jù)庫的讀寫權(quán)限 
userAdminAnyDatabase:只在admin數(shù)據(jù)庫中可用,賦予用戶所有數(shù)據(jù)庫的userAdmin權(quán)限 
dbAdminAnyDatabase:只在admin數(shù)據(jù)庫中可用,賦予用戶所有數(shù)據(jù)庫的dbAdmin權(quán)限。

  6、超級(jí)用戶角色

root:提供對(duì)readWriteAnyDatabase、dbAdminAnyDatabase、userAdminAnyDatabase、clusterAdmin、restore和backup的所有資源的訪問

  7、內(nèi)部角色

__system : 提供對(duì)數(shù)據(jù)庫中任何對(duì)象的任何操作的特權(quán)

【自定義角色】

  除了使用內(nèi)建的角色之外,MongoDB還支持使用db.createRole()方法來自定義角色

  [注意]只能在admin數(shù)據(jù)庫中創(chuàng)建角色,否則會(huì)失敗

  role: 自定義角色的名稱

  privileges: 權(quán)限操作 

  roles:繼承的角色。如果沒有繼承的角色,可以設(shè)置為空數(shù)組  

平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),游戲開發(fā),動(dòng)畫培訓(xùn)

use admin
db.createRole(
   {
     role: "myClusterwideAdmin",
     privileges: [
       { resource: { cluster: true }, actions: [ "addShard" ] },
       { resource: { db: "config", collection: "" }, actions: [ "find", "update", "insert", "remove" ] },
       { resource: { db: "users", collection: "usersCollection" }, actions: [ "update", "insert", "remove" ] },
       { resource: { db: "", collection: "" }, actions: [ "find" ] }
     ],
     roles: [
       { role: "read", db: "admin" }
     ]
   },
   { w: "majority" , wtimeout: 5000 }
)

平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),游戲開發(fā),動(dòng)畫培訓(xùn)

平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),游戲開發(fā),動(dòng)畫培訓(xùn)

 

用戶管理

【創(chuàng)建用戶】

  使用createUser命令來創(chuàng)建用戶

  user: 用戶名  pwd: 密碼

  customData: 對(duì)用戶名密碼的說明(可選項(xiàng))

  roles: {role:繼承自什么角色類型,db:數(shù)據(jù)庫名稱}

db.createUser({user: "...",pwd: "...",customDate:"...",roles:[{role: "...",db: "..."}]})

  1、創(chuàng)建管理員用戶

  MongoDB沒有默認(rèn)管理員賬號(hào),所以要先添加管理員賬號(hào)。切換到admin數(shù)據(jù)庫,添加的賬號(hào)才是管理員賬號(hào)

  在admin數(shù)據(jù)庫中,添加一個(gè)用戶并賦予userAdminAnyDatabase角色

db.createUser({user: "admin",pwd: "123456",roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]})

平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),游戲開發(fā),動(dòng)畫培訓(xùn)

   2、重新登錄數(shù)據(jù)庫,并驗(yàn)證權(quán)限

  如果auth()方法返回0則代表授權(quán)失敗,返回1代表授權(quán)成功

db.auth()

平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),游戲開發(fā),動(dòng)畫培訓(xùn)

  3、添加普通用戶

  一旦經(jīng)過認(rèn)證的用戶管理員,可以使用db.createUser()去創(chuàng)建額外的用戶。 可以分配mongodb內(nèi)置的角色或用戶自定義的角色給用戶

平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),游戲開發(fā),動(dòng)畫培訓(xùn)

  [注意]需要在admin數(shù)據(jù)庫下進(jìn)行認(rèn)證,否則認(rèn)證不成功

平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),游戲開發(fā),動(dòng)畫培訓(xùn)

  由于該用戶只有讀權(quán)限,所以會(huì)寫入數(shù)據(jù)失敗

平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),游戲開發(fā),動(dòng)畫培訓(xùn)

  4、創(chuàng)建超級(jí)用戶

平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),游戲開發(fā),動(dòng)畫培訓(xùn)

【查看用戶】

db.system.users.find()

平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),游戲開發(fā),動(dòng)畫培訓(xùn)

【刪除用戶】

db.dropUser()

平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),游戲開發(fā),動(dòng)畫培訓(xùn)

【添加用戶權(quán)限】

db.grantRolesToUser()

  給在db1數(shù)據(jù)庫中只讀的x用戶,添加寫權(quán)限

平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),游戲開發(fā),動(dòng)畫培訓(xùn)

【修改密碼】

db.changeUserPassword()

平面設(shè)計(jì)培訓(xùn),網(wǎng)頁設(shè)計(jì)培訓(xùn),美工培訓(xùn),游戲開發(fā),動(dòng)畫培訓(xùn)

http://www.cnblogs.com/xiaohuochai/p/7207423.html