文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Mongodb七天总结—权限管理(2)

2024-04-02 19:55

关注

Mongodb权限管理


版本:Mongodb3.0

说到对数据库我安全问题我们一般就会从以下几点考虑怎么去解决数据库安全的问题。

1.最安全的是物理隔离:

2.网络隔离:

3.防火墙隔离:

4.用户名和密码:

 

下面我们来说说mongodb的用户名和密码认证:

认证是确定client身份的机制,默认情况下mongodb并没有开启权限认证,我们部署好MGDB之后需要进行,一般常用mongodb权限认证的方式有:

    1.auth开启(在启动的时候知道--auth=true)

    2.Keyfile开启

怎么进行认证,在命令行mongo --auth或者在配置文件里加入配置信息,来开启认证;auth是一个布尔值,只需要在配置文件里加入auth=ture就开启认证了,那Keyfile呢?

Auth和keyfile的区别:

   Auth : 单机实例认证,

   Keyfile : 副本集和分片之间验证; 

复制集是一个整体,复制集之间通信需要验证对方的身份,因为没有Keyfile,所以节点之间是不知道其他节点,Keyfile是集群节点间的一个×××明,怎么去创建keyfile,我们可以去使用openssl命令;

[root@localhost ~]# openssl rand -base64 111  .keyFile

[root@localhost ~]# cat .keyFile

EG8ABQZU9C87lPRKFVbClBYhxTw8Hyv91NkOoqLBF3eRfnAUxPCTcevB82fYM+Zo+tPOjnsPiVZrCZmAsG26ZFrB/SHhTj/E+F3QARFWKnm4DJNBhzLnjZOKtoao61BMcRAye0H7HG0geMQtbGBX 

在未开启keyfile认证的时候不去创建用户,否则也会当keyfile配置重启后,用户创建可能进行回滚,当我们进行创建完成keyfile后再进行认证创建用户;

Keyfile的注意:

    1.内容 base64编码集【a-z A-Z + /】

    2.长度 1000bytes

    3.权限 chmod 600 keyfile

现在我们开始传教

创建用户

语法;

db.createUser(

{

User:<name_string>,                   #字符串

pwd:<password_string>                 #字符串

Roles:<role:<role_name>,db:<db_name>>  #数组+对象

}

)

创建root用户,在创建之前我们开启的auth认证,但是库没有任何用户,那我们需要添加参数setParametmer=enableLocalhostAuthBypass=1,来跳过认证情况下本机登录无需认证。

创建root用户的时候,是一个全局用户,必须只能创建在admin库

> db.createUser({user:'admin',pwd:'123123',roles:[{role:'root',db:'admin'}]})

Successfully added user: {

       "user" : "admin",

       "roles" : [

               {

                      "role" : "root",

                       "db" : "admin"

               }

       ]

}

[root@localhost ~]# mongo localhost:27017                    

MongoDB shell version: 3.0.12

connecting to: localhost:27017/test

> show dbs

admin  0.078GB

local  0.078GB

> use admin

switched to db admin

> show users

{

        "_id" : "admin.admin",

        "user" : "admin",

        "db" : "admin",  #你这个用户是创建在admin库

        "roles" : [

                {

                        "role" : "root",

                        "db" : "admin"  #角色的作用域

                }

        ]

}

> db.auth('admin','123123')   #认证

>1   #认证成功

 

删除用户:

 

1、db.dropUser(<user_name>)  删除某个用户,

2、db.dropAllUser()           删除所有用户,

如何修改用户密码:

 

 

角色:

什么是角色:对某一个资源的权限的集合

mongodb有什么角色:

MongoBD有两种角色

1.自带 的角色(bulid-in roles)

  读写:

read 、readWrite

  管理员:

dbAdmin、dbOwner、userAdmin、clusterAdmin

clusterManager、clusterMonitor、hostManager

  备份:

        backup、restore

  全局:

readAnyDatabase、readWriteAnyDatabase、

userAdminAnyDatabase、dbAdminAnyDatabase

  超级用户:

root

2.自定义角色

 语法:

Use admin

dbCreateRole(

{

role:<role_name>, #角色名字

Privileges:[

{resource:{db:<db_name>,collection:<coll_name>},

 actions:[<action_name>]} #操作的力度很小。不同的操作对应不同的命令

],

Roles:[{role:<role_name>},db:<db_name>] #你所创建的角色是否需要继承其他的role

}

)

 

创建角色:

>use ycj

>db

>ycj

>db.createRole({role:'testycj',privileges:[{resource:{db:'ycj',collection:''},actions:['find','insert','re

move']}],roles:[{role:'read',db:'test'}]})

Error: Roles on the 'ycj' database cannot be granted roles from other databases(不能再其他数据库下创建角色)

这个时候我们切到admin库下,>use admin,创建用户成功;因为我们创建的角色是在admain下创建的。

> show users #查看db的用户

{

        "_id" : "admin.admin",

        "user" : "admin",

        "db" : "admin",

        "roles" : [

                {

                        "role" : "root",

                        "db" : "admin"

                }

        ]

}

查看admin的权限:

> show roles;

{

        "role" : "readWriteAnyDatabase",

        "db" : "admin",

        "isBuiltin" : true,

        "roles" : [ ],

        "inheritedRoles" : [ ]

}

...........

...........

...........

{

        "role" : "testycj",

        "db" : "admin",

        "isBuiltin" : false,

        "roles" : [

                {

                        "role" : "read",

                        "db" : "test"

                }

        ],

        "inheritedRoles" : [

                {

                        "role" : "read",

                        "db" : "test"

                }

        ]

}

{

        "role" : "userAdmin",

        "db" : "admin",

        "isBuiltin" : true,

        "roles" : [ ],

        "inheritedRoles" : [ ]

}

可以看到我们的admin的root权限中,已经存在我们传教的testycj权限,同时我们也发现的root权限其实就是其他的权限的集合组成,比如readwrite、restore、readWriteAnyDatabase...,因为我们是在admin下创建的权限,所有这个自定义权限的作用域就是admin,在其他域将不能使用。

> db.runCommand({usersInfo:'admin',showPrivileges:1}) #查看这个用户的所有信息·

{

    "users" : [

            {

                      "_id" : "admin.admin",

                      "user" : "admin",

                      "db" : "admin", #在哪个库创建的

                      "roles" : [

                               {

                                       "role" : "root",

                                       "db" : "admin"

                               }

                       ],

                       "inheritedRoles" : [ #继承的角色

                               {

                                       "role" : "root",

                                       "db" : "admin"

                               }

                       ],

                       "inheritedPrivileges" : [

                               {

                                       "resource" : {

                                       "cluster" : true  #对集群操作需要权限

                                       },

                                       "actions" : [ #所操作的权限

                                            "addShard",

                                            "appendOplogNote",

                                            "applicationMessage",

                                            "authSchemaUpgrade",

                                            "cleanupOrphaned",

                                            "connPoolStats",

                                             .......

                                    .......

                                                                        

接下来我们就以yjctest权限去创建用户,

>use admin

>db.createUser({user:'ycj',pwd:'123',roles:[{role:'testycj',db:'admin'}]})

>db.auth(‘ycj’,’123’)

>1

现在我们开启两个远程总段回话A和B来测试一下

A:ycj

B:admin


 

 

 


阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-数据库
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯