MongoDB安全包括什么？怎么對角色管理？

2024-09-07 00:22:34

字體：大中小

供稿：網(wǎng)友

本文給大家分享的是關(guān)于mongodb安全的問題，關(guān)于MongoDB安全有物理隔離、網(wǎng)絡(luò)隔離、防火墻隔離和用戶名密碼鑒權(quán)這四方面。此外關(guān)于MongoDB角色管理操作也是很重要的，下面我們就一起來看看。

        MongoDB安全主要包括以下4個方面

        1、物理隔離

        系統(tǒng)不論設(shè)計的多么完善，在實施過程中，總會存在一些漏洞。如果能夠把不安全的使用方與MongoDB數(shù)據(jù)庫做物理上的隔離，即通過任何手段都不能連接到數(shù)據(jù)庫，這是最安全的防護。但，通常這是不現(xiàn)實的。一些重要的數(shù)據(jù)可能會保存下來，放置到物理隔離的機房中

        2、網(wǎng)絡(luò)隔離

        許多公司的開發(fā)機處于內(nèi)網(wǎng)環(huán)境中。即使數(shù)據(jù)庫存在漏洞，外部環(huán)境也沒有機會利用，因為根本無法訪問內(nèi)網(wǎng)

        權(quán)限認(rèn)證

        mongodb存儲所有的用戶信息在admin數(shù)據(jù)庫的集合system.users中，保存用戶名、密碼和數(shù)據(jù)庫信息。mongodb默認(rèn)不啟用權(quán)限認(rèn)證，只要能連接到該服務(wù)器，就可連接到mongod。若要啟用安全認(rèn)證，需要更改配置文件參數(shù)authorization，也可以簡寫為auth。

        然后，重啟mongod。查看日志文件，發(fā)現(xiàn)權(quán)限認(rèn)證已經(jīng)開啟

        但是，不使用用戶名和密碼依然可以連接到數(shù)據(jù)庫。這是因為，我們還沒有創(chuàng)建用戶。在用戶創(chuàng)建，并且開啟權(quán)限認(rèn)證之后，如果不使用用戶名和密碼將不能夠連接到數(shù)據(jù)庫

        角色管理

        在進行用戶管理之前，首先要先了解角色管理

        MongoDB支持基于角色的訪問控制（RBAC）來管理對MongoDB系統(tǒng)的訪問。一個用戶可以被授權(quán)一個或者多個:ref:角色 <roles> 以決定該用戶對數(shù)據(jù)庫資源和操作的訪問權(quán)限。在權(quán)限以外，用戶是無法訪問系統(tǒng)的

        數(shù)據(jù)庫角色在創(chuàng)建用戶中的role參數(shù)中設(shè)置。角色分為內(nèi)建角色和自定義角色

        【內(nèi)建角色】

        MongoDB內(nèi)建角色包括以下幾類

        1、數(shù)據(jù)庫用戶角色

read：允許用戶讀取指定數(shù)據(jù)庫
readWrite：允許用戶讀寫指定數(shù)據(jù)庫
        2、數(shù)據(jù)庫管理員角色

dbAdmin：允許用戶進行索引創(chuàng)建、刪除，查看統(tǒng)計或訪問system.profile，但沒有角色和用戶管理的權(quán)限
userAdmin：提供了在當(dāng)前數(shù)據(jù)庫中創(chuàng)建和修改角色和用戶的能力
dbOwner：提供對數(shù)據(jù)庫執(zhí)行任何管理操作的能力。這個角色組合了readWrite、dbAdmin和userAdmin角色授予的特權(quán)。
        3、集群管理角色

clusterAdmin ：提供最強大的集群管理訪問。組合clusterManager、clusterMonitor和hostManager角色的能力。還提供了dropDatabase操作
clusterManager ：在集群上提供管理和監(jiān)視操作。可以訪問配置和本地數(shù)據(jù)庫，這些數(shù)據(jù)庫分別用于分片和復(fù)制
clusterMonitor ：提供對監(jiān)控工具的只讀訪問，例如MongoDB云管理器和Ops管理器監(jiān)控代理。
hostManager ：提供監(jiān)視和管理服務(wù)器的能力。
        4、備份恢復(fù)角色

backup ：提供備份數(shù)據(jù)所需的能力，使用MongoDB云管理器備份代理、Ops管理器備份代理或使用mongodump
restore ：提供使用mongorestore恢復(fù)數(shù)據(jù)所需的能力
        5、內(nèi)部角色

__system : 提供對數(shù)據(jù)庫中任何對象的任何操作的特權(quán)
        【自定義角色】

        除了使用內(nèi)建的角色之外，MongoDB還支持使用db.createRole()方法來自定義角色

        [注意]只能在admin數(shù)據(jù)庫中創(chuàng)建角色，否則會失敗

        role: 自定義角色的名稱

        privileges: 權(quán)限操作　

        roles：繼承的角色。如果沒有繼承的角色，可以設(shè)置為空數(shù)組　

        用戶管理

        【創(chuàng)建用戶】

        使用createUser命令來創(chuàng)建用戶

        user: 用戶名 pwd: 密碼

        customData: 對用戶名密碼的說明(可選項)

        roles: {role:繼承自什么角色類型，db:數(shù)據(jù)庫名稱}

db.createUser({user: "...",pwd: "...",customDate:"...",roles:[{role: "...",db: "..."}]})
        1、創(chuàng)建管理員用戶

        MongoDB沒有默認(rèn)管理員賬號，所以要先添加管理員賬號。切換到admin數(shù)據(jù)庫，添加的賬號才是管理員賬號。在admin數(shù)據(jù)庫中，添加一個用戶并賦予userAdminAnyDatabase角色

db.createUser({user: "admin",pwd: "123456",roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]})

        2、重新登錄數(shù)據(jù)庫，并驗證權(quán)限

        如果auth()方法返回0則代表授權(quán)失敗，返回1代表授權(quán)成功

db.auth()

        3、添加普通用戶

        一旦經(jīng)過認(rèn)證的用戶管理員，可以使用db.createUser()去創(chuàng)建額外的用戶。可以分配mongodb內(nèi)置的角色或用戶自定義的角色給用戶

        [注意]需要在admin數(shù)據(jù)庫下進行認(rèn)證，否則認(rèn)證不成功

        由于該用戶只有讀權(quán)限，所以會寫入數(shù)據(jù)失敗。

（編輯：武林網(wǎng)）

上一篇：mongodb查詢耗時的辦法是什么？

下一篇：淺談MongoDB中的常用操作，你都知道多少？