MongoDB安全包括什么？怎么對角色管理？

2024-09-07 00:22:34

字體：大中小

來源：轉載

供稿：網友

本文給大家分享的是關于mongodb安全的問題，關于MongoDB安全有物理隔離、網絡隔離、防火墻隔離和用戶名密碼鑒權這四方面。此外關于MongoDB角色管理操作也是很重要的，下面我們就一起來看看。

        MongoDB安全主要包括以下4個方面

        1、物理隔離

        系統不論設計的多么完善，在實施過程中，總會存在一些漏洞。如果能夠把不安全的使用方與MongoDB數據庫做物理上的隔離，即通過任何手段都不能連接到數據庫，這是最安全的防護。但，通常這是不現實的。一些重要的數據可能會保存下來，放置到物理隔離的機房中

        2、網絡隔離

        許多公司的開發機處于內網環境中。即使數據庫存在漏洞，外部環境也沒有機會利用，因為根本無法訪問內網

        權限認證

        mongodb存儲所有的用戶信息在admin數據庫的集合system.users中，保存用戶名、密碼和數據庫信息。mongodb默認不啟用權限認證，只要能連接到該服務器，就可連接到mongod。若要啟用安全認證，需要更改配置文件參數authorization，也可以簡寫為auth。

        然后，重啟mongod。查看日志文件，發現權限認證已經開啟

        但是，不使用用戶名和密碼依然可以連接到數據庫。這是因為，我們還沒有創建用戶。在用戶創建，并且開啟權限認證之后，如果不使用用戶名和密碼將不能夠連接到數據庫

        角色管理

        在進行用戶管理之前，首先要先了解角色管理

        MongoDB支持基于角色的訪問控制（RBAC）來管理對MongoDB系統的訪問。一個用戶可以被授權一個或者多個:ref:角色 <roles> 以決定該用戶對數據庫資源和操作的訪問權限。在權限以外，用戶是無法訪問系統的

        數據庫角色在創建用戶中的role參數中設置。角色分為內建角色和自定義角色

        【內建角色】

        MongoDB內建角色包括以下幾類

        1、數據庫用戶角色

read：允許用戶讀取指定數據庫
readWrite：允許用戶讀寫指定數據庫
        2、數據庫管理員角色

dbAdmin：允許用戶進行索引創建、刪除，查看統計或訪問system.profile，但沒有角色和用戶管理的權限
userAdmin：提供了在當前數據庫中創建和修改角色和用戶的能力
dbOwner：提供對數據庫執行任何管理操作的能力。這個角色組合了readWrite、dbAdmin和userAdmin角色授予的特權。
        3、集群管理角色

clusterAdmin ：提供最強大的集群管理訪問。組合clusterManager、clusterMonitor和hostManager角色的能力。還提供了dropDatabase操作
clusterManager ：在集群上提供管理和監視操作。可以訪問配置和本地數據庫，這些數據庫分別用于分片和復制
clusterMonitor ：提供對監控工具的只讀訪問，例如MongoDB云管理器和Ops管理器監控代理。
hostManager ：提供監視和管理服務器的能力。
        4、備份恢復角色

backup ：提供備份數據所需的能力，使用MongoDB云管理器備份代理、Ops管理器備份代理或使用mongodump
restore ：提供使用mongorestore恢復數據所需的能力
        5、內部角色

__system : 提供對數據庫中任何對象的任何操作的特權
        【自定義角色】

        除了使用內建的角色之外，MongoDB還支持使用db.createRole()方法來自定義角色

        [注意]只能在admin數據庫中創建角色，否則會失敗

        role: 自定義角色的名稱

        privileges: 權限操作　

        roles：繼承的角色。如果沒有繼承的角色，可以設置為空數組　

        用戶管理

        【創建用戶】

        使用createUser命令來創建用戶

        user: 用戶名 pwd: 密碼

        customData: 對用戶名密碼的說明(可選項)

        roles: {role:繼承自什么角色類型，db:數據庫名稱}

db.createUser({user: "...",pwd: "...",customDate:"...",roles:[{role: "...",db: "..."}]})
        1、創建管理員用戶

        MongoDB沒有默認管理員賬號，所以要先添加管理員賬號。切換到admin數據庫，添加的賬號才是管理員賬號。在admin數據庫中，添加一個用戶并賦予userAdminAnyDatabase角色

db.createUser({user: "admin",pwd: "123456",roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]})

        2、重新登錄數據庫，并驗證權限

        如果auth()方法返回0則代表授權失敗，返回1代表授權成功

db.auth()

        3、添加普通用戶

        一旦經過認證的用戶管理員，可以使用db.createUser()去創建額外的用戶。可以分配mongodb內置的角色或用戶自定義的角色給用戶

        [注意]需要在admin數據庫下進行認證，否則認證不成功

        由于該用戶只有讀權限，所以會寫入數據失敗。

（編輯：武林網）

上一篇：mongodb查詢耗時的辦法是什么？

下一篇：淺談MongoDB中的常用操作，你都知道多少？