資訊專欄INFORMATION COLUMN
摘要:缺省是沒有設置鑒權的,業界大部分使用的項目也沒有設置訪問權限。本文介紹如何在單臺服務器上設置鑒權。類似的,為規劃用戶鑒權時,至少要規劃兩種角色用戶管理員和數據庫用戶。缺省方式下是不進行鑒權檢查的。
MongoDB 缺省是沒有設置鑒權的,業界大部分使用 MongoDB 的項目也沒有設置訪問權限。這就意味著只要知道 MongoDB 服務器的端口,任何能訪問到這臺服務器的人都可以查詢和操作 MongoDB 數據庫的內容。在一些項目當中,這種使用方式會被看成是一種安全漏洞。
本文介紹如何在單臺 MongoDB 服務器上設置鑒權。設置完后,MongoDB 客戶端必須用正確的用戶名和密碼登錄,才能在指定的數據庫中操作。
首先介紹下 MongoDB 的用戶和權限。每個數據庫都有自己的用戶,創建用戶的命令是db.createUser()(文檔),當你創建一個用戶時,該用戶就屬于你當前所在的數據庫。
每個用戶包含三個要素:用戶名、密碼和角色列表。下面是一個例子:
{
user: "dbuser",
pwd : "dbpass",
roles: ["readWrite", "clusterAdmin"]
}
這個例子表示一個名為dbuser的用戶,它在當前的數據庫中擁有 readWrite 和 clusterAdmin 兩個角色。
MongoDB 內置了很多角色,但要注意,不是每個數據庫的內置角色都一樣。其中 admin 數據庫就包含了一些其他數據庫所沒有的角色。
熟悉 Oracle 的童鞋們都知道,數據庫用戶有兩種,一種是管理員,用來管理用戶,一種是普通用戶,用來訪問數據。類似的,為 MongoDB 規劃用戶鑒權時,至少要規劃兩種角色:用戶管理員和數據庫用戶。如果搭建了分片或主從,可能還會要規劃數據庫架構管理員的角色,它們專門用來調整數據庫的分布式架構。
在創建用戶之前,我們首先要修改 MongoDB 的啟動方式。缺省方式下 MongoDB 是不進行鑒權檢查的。我們只要在運行 MongoDB 的命令后面加上一個 --auth 參數即可,例如:
mongod --dbpath ./db1 --port 20000 --auth如何創建用戶管理員
用戶管理員是第一個要創建的用戶。在沒有創建任何用戶之前,你可以隨意創建用戶;但數據庫中一旦有了用戶,那么未登錄的客戶端就沒有權限做任何操作了,除非使用db.auth(username, password)方法登錄。
用戶管理員的角色名叫 userAdminAnyDatabase,這個角色只能在 admin 數據庫中創建。下面是一個例子:
> use admin
switched to db admin
> db.createUser({user:"root",pwd:"root123",roles:["userAdminAnyDatabase"]})
Successfully added user: { "user" : "root", "roles" : [ "userAdminAnyDatabase" ] }
這個例子創建了一個名為 root 的用戶管理員。創建完了這個用戶之后,我們應該馬上以該用戶的身份登錄:
> db.auth("root","root123")
1
db.auth() 方法返回 1 表示登錄成功。接下來我們為指定的數據庫創建訪問所需的賬號。
如何創建數據庫用戶首先保證你已經以用戶管理員的身份登錄 admin 數據庫。然后用 use 命令切換到目標數據庫,同樣用 db.createUser() 命令來創建用戶,其中角色名為 “readWrite”。
普通的數據庫用戶角色有兩種,read 和 readWrite。顧名思義,前者只能讀取數據不能修改,后者可以讀取和修改。
下面是一個例子:
> use test
switched to db test
> db.createUser({user:"testuser",pwd:"testpass",roles:["readWrite"]})
Successfully added user: { "user" : "testuser", "roles" : [ "readWrite" ] }
> db.auth("testuser","testpass")
1
這樣 MongoDB 的數據安全性就得到保障了,沒有登錄的客戶端將無法執行任何命令。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/18743.html
摘要:在前面一篇文章中,我介紹了如何在單臺上設置鑒權,以防范對數據未經授權的訪問。本文介紹在配置了主從和分片的情況下,如何為數據庫添加鑒權。創建用戶并賦予合適的角色這點參考前面的單臺如何設置鑒權即可,使用客戶端連上數據庫,創建用戶,過程完全一樣。 在前面一篇文章中,我介紹了如何在單臺 MongoDB 上設置鑒權,以防范對數據未經授權的訪問。本文介紹在配置了主從(Replica Set)和分片...
摘要:而阿里云自研的秒級監控系統已經可以做到秒點的真秒級粒度,全量指標采集無一疏漏甚至對曾經沒有出現過的指標進行自動采集,實時數據展示。最后,秒級監控已經在阿里云控制臺開放,云的用戶可以自主進行監控開啟,體驗秒級監控帶來的高清體驗。 在我們平時的數據庫使用當中,監控系統,作為排查故障,告警故障的重要輔助系統,對dba、運維、業務開發同學進行問題診斷、排查、分析有著重要的作用。并且一個監控系統...
摘要:而阿里云自研的秒級監控系統已經可以做到秒點的真秒級粒度,全量指標采集無一疏漏甚至對曾經沒有出現過的指標進行自動采集,實時數據展示。最后,秒級監控已經在阿里云控制臺開放,云的用戶可以自主進行監控開啟,體驗秒級監控帶來的高清體驗。 在我們平時的數據庫使用當中,監控系統,作為排查故障,告警故障的重要輔助系統,對dba、運維、業務開發同學進行問題診斷、排查、分析有著重要的作用。并且一個監控系統...
閱讀 3082·2021-11-22 13:54
閱讀 840·2021-11-04 16:08
閱讀 4525·2021-10-11 11:09
閱讀 3604·2021-09-22 16:05
閱讀 929·2019-08-30 15:54
閱讀 395·2019-08-30 15:44
閱讀 601·2019-08-30 14:05
閱讀 1020·2019-08-30 12:46
