添加链接 注册    登录
link之家
链接快照平台
  • 输入网页链接,自动生成快照
  • 标签化管理网页链接
相关文章推荐
坚强的吐司  ·  盐田区2024年秋季学期幼儿园学位申请指南- ...·  4 月前    · 
兴奋的开水瓶  ·  neo牛晖百度网盘合集下载【大学生兼创吧】_ ...·  6 月前    · 
跑龙套的荔枝  ·  《想见你》:把人绕晕的简单爱情片-新华网·  1 年前    · 
风流的书签  ·  第4话 成为主角?-男主和后宫都是我的了-漫画牛·  1 年前    · 
腼腆的柳树  ·  江西省人民政府 规划计划 ...·  1 年前    · 
link之家  ›  MongoDB权限管理之用户名和密码的操作 - 553490191
https://www.cnblogs.com/dancesir/p/9049320.html
气势凌人的大葱
1 年前

Mongodb enable authentication

MongoDB 默认直接连接,无须身份验证,如果当前机器可以公网访问,且不注意Mongodb 端口(默认 27017)的开放状态,那么Mongodb就会产生安全风险,被利用此配置漏洞,入侵数据库。

容易遭受入侵的环境

  • 使用默认 mongod 命令启动 Mongodb
  • 机器可以被公网访问
  • 在公网上开放了 Mongodb 端口
  • 数据库隐私泄露
  • 数据库被清空
  • 数据库运行缓慢

    • 1. 禁止公网访问 Mongodb 端口

    1.1 网络配置

    由于网络配置因人而异,需要根据自己实际环境进行配置,不作冗述。大致可以从以下方面禁止。

  • 在路由器中关闭端口转发
  • 防火墙 iptables 禁止访问

    • 1.2 验证端口能否访问方式

    在外网机器命令行中运行 

    telnet your.machine.open.ip 27017

    2. 启用验证
    

    2.1 创建用户管理员账户
    

    当前数据库版本:Mongodb 3.4
    

    使用 mongod 启动数据库
    

    mongod --port 27017 --dbpath /data/db1

    参数默认可以不加,若有自定义参数,才要加上,下同。
    

    另起一个终端,运行下列命令
    

    mongo --port 27017
use admin
db.createUser(
    user: "adminUser",
    pwd: "adminPass",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]

    管理员创建成功,现在拥有了用户管理员
    
用户名:adminUser
    
密码:adminPass
    
然后,断开 mongodb 连接, 关闭数据库
    
两个终端下 <C - c>
    

    2.2 Mongodb 用户验证登陆
    

    启动带访问控制的 Mongodb
    

    mongod --auth --port 27017 --dbpath /data/db1

    现在有两种方式进行用户身份的验证
    
第一种 (类似 MySql)
    
客户端连接时,指定用户名,密码,db名称
    

    mongo --port 27017 -u "adminUser" -p "adminPass" --authenticationDatabase "admin"
客户端连接后,再进行验证
    

    mongo --port 27017
use admin
db.auth("adminUser", "adminPass")
// 输出 1 表示验证成功

    2.3 创建普通用户
    

    过程类似创建管理员账户,只是 role 有所不同
    

    use foo
db.createUser(
    user: "simpleUser",
    pwd: "simplePass",
    roles: [ { role: "readWrite", db: "foo" },
             { role: "read", db: "bar" } ]

    现在我们有了一个普通用户
    
用户名:simpleUser
    
密码:simplePass
    
权限:读写数据库 foo, 只读数据库 bar。
    
use foo表示用户在 foo 库中创建,就一定要 foo 库验证身份,即用户的信息跟随随数据库。比如上述 simpleUser 虽然有 bar 库的读取权限,但是一定要先在 foo 库进行身份验证,直接访问会提示验证失败。
    

    use foo
db.auth("simpleUser", "simplePass")
use bar
show collections

    还有一点需要注意,如果 admin 库没有任何用户的话,即使在其他数据库中创建了用户,启用身份验证,默认的连接方式依然会有超级权限
    

    2.4 内建角色
    

  • Read:允许用户读取指定数据库
    • 

  • readWrite:允许用户读写指定数据库
    • 

  • dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
    • 

  • userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
    • 

  • clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
    • 

  • readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限
    • 

  • readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限
    • 

  • userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
    • 

  • dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
    • 

  • root:只在admin数据库中可用。超级账号,超级权限
    • 

    2.5 URI 形式的访问
    

    生产中常用 URI 形式对数据库进行连接
    

    mongodb://your.db.ip.address:27017/foo

    添加用户名密码验证
    

    mongodb://simpleUser:simplePass@your.db.ip.address:27017/foo
     
    推荐文章
    坚强的吐司  ·  盐田区2024年秋季学期幼儿园学位申请指南-招生政策-深圳盐田政府在线-深圳市盐田区政府门户网站
    4 月前
    兴奋的开水瓶  ·  neo牛晖百度网盘合集下载【大学生兼创吧】_百度贴吧
    6 月前
    跑龙套的荔枝  ·  《想见你》:把人绕晕的简单爱情片-新华网
    1 年前
    风流的书签  ·  第4话 成为主角?-男主和后宫都是我的了-漫画牛
    1 年前
    腼腆的柳树  ·  江西省人民政府 规划计划 江西省人民政府关于印发江西省“十四五”数字经济发展规划的通知
    1 年前
    今天看啥   ·   Py中国   ·   codingpro   ·   藏经阁   ·   小百科   ·   link之家   ·   卧龙AI搜索
    删除内容请联系邮箱 2879853325@qq.com
    link之家 - 链接快照平台
    © 2024 ~ 沪ICP备11025650号