Mongodb如何开启用户访问控制详解
前言
Mongodb 数据库默认情况下是没有访问控制的,整个数据库对外是开发的,只要能连上数据库,则可以进行任何操作,这会对数据带来很大的风险。当然,我们可以启用mongodb的访问控制,只让通过认证的用户才能对数据库进行角色范围内的操作。
启用访问控制可以通过在启动 mongodb 时指定 --auth 参数来设置,另外还涉及到创建用户 db.createUser 操作以及一些角色的定义,我们先来看这部分内容。
db.createUser() 用法
db.createUser({
user: "$USERNAME",
pwd: "$PASSWROD",
roles: [
{ role: "$ROLE_NAME", db: "$DBNAME"}
]
})
参数说明:
- user 是用户名
- pwd 是密码
- role 来指定用户的角色
- db 来指定所属的数据库
- roles 是用户所有角色的集合
Mongodb 预定义角色
Mongodb 中预定义了一些角色,把这些角色赋予给适当的用户上,用户就只能进行角色范围内的操作。
1、数据库用户角色 (所有数据库都有)
- read 用户可以读取当前数据库的数据
- readWrite 用户可以读写当前数据库的数据
2、数据库管理角色(所有数据库都有)
- dbAdmin 管理员用户但不能对用户和角色管理授权
- dbOwner 数据库所有者可进行任何管理任务
- userAdmin 可以管理当前数据的用户和角色
3、集群管理角色(admin数据库可用)
- clusterAdmin 集群所有管理权限,是 clusterManager , clusterMonitor, hostManager 合集
- clusterManager 集群管理和监控
- clusterMonitor 集群监控,只读的
- hostManager 监控和管理服务器
4、备份和恢复角色(admin数据库可用)
- backup
- restore
5、所有数据库角色(admin数据库可用)
- readAnyDatabase 读取所有数据库
- readWriteAnyDatabase 读写所有数据库
- userAdminAnyDatabase 所有数据库的 userAdmin 权限
- dbAdminAnyDatabase 所有数据库的 dbAdmin 权限
6、超级角色(admin数据库可用)
- root 超级用户
7、内部角色
- __system 所有操作权限
更多预定于角色的信息请参看:https://docs.mongodb.com/manual/core/security-built-in-roles/
启用访问控制的步骤
1, 启动 mongodb 实例,关闭 访问控制
不带 --auth
./mongod
2, 连接上 mongodb 实例
./mongo
3,创建用户管理员
在 admin 数据库中添加一个 具有 userAdminAnyDatabase 角色的用户作为用户管理用户。下面的例子中创建了 admin 为用户管理员。
> use admin
switched to db admin
> db.createUser({
... user: "admin",
... pwd: "admin",
... roles: [
... { role: "userAdminAnyDatabase", db: "admin"}
... ]
... })
Successfully added user: {
"user" : "admin",
"roles" : [
{
"role" : "userAdminAnyDatabase",
"db" : "admin"
}
]
}
>
退出连接
4,重启数据库启用访问控制
命令行启动,只需要添加 --auth 参数
./mongo --auth
5,使用管理用户连接,有两种方法
- 使用命令行 ./mongo -u "$USERNAME" -p "$PASSWROD" --authenticationDatabase "admin"
- 使用 db.auth()
我们使用第二种
>
> use admin
switched to db admin
> db.auth("admin", "admin")
1
>
1 表示认证成功
6, 为某个数据库创建独立用户
以下为 test 数据库 创建具有读写权限的用户 test
admin 用户由于只有 userAdminAnyDatabase 权限,所以没有 test 数据的读写权限,所以,为了读写 test 数据库,我们需要创建一个用户。先看一下直接用 admin 会报什么错误
> use test
> show collections
2017-01-13T13:49:17.691+0800 E QUERY [thread1] Error: listCollections failed: {
"ok" : 0,
"errmsg" : "not authorized on test to execute command { listCollections: 1.0, filter: {} }",
"code" : 13
} :
_getErrorWithCode@src/mongo/shell/utils.js:25:13
DB.prototype._getCollectionInfosCommand@src/mongo/shell/db.js:773:1
DB.prototype.getCollectionInfos@src/mongo/shell/db.js:785:19
DB.prototype.getCollectionNames@src/mongo/shell/db.js:796:16
shellHelper.show@src/mongo/shell/utils.js:754:9
shellHelper@src/mongo/shell/utils.js:651:15
@(shellhelp2):1:1
我们直接使用 show collections , 则报错:not authorized on test to execute command ,意思是没有权限。
> use test
switched to db test
> db.createUser({
... user: "test",
... pwd: "test",
... roles: [
... { role: "readWrite", db: "test"}
... ]
... })
Successfully added user: {
"user" : "test",
"roles" : [
{
"role" : "readWrite",
"db" : "test"
}
]
}
>
然后我们使用 db.auth(“test”, “test”) , 再执行命令 则没有报错
> db.auth("test", "test")
1
>
> show collections
试着写入一条数据,也是正常的。
> db.t.insert({name:"buzheng"});
WriteResult({ "nInserted" : 1 })
> db.t.find();
{ "_id" : ObjectId("58786c84bf5dd606ddfe1144"), "name" : "buzheng" }
>
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流。
-
cmf_check_user_action($object = "", $countLimit = 1, $ipLimit = false, $expire = 0) 功能 检查用户对某个url内容的可访问性,用于记录如是否赞过,是否访问过等等;开发者可以自由控制,对于没有必要做的检查可以不做,以减少服务器压力 参数 $object: string 要检查权限的用户 ID $countLimit
-
cmf_check_user_action($object = "", $countLimit = 1, $ipLimit = false, $expire = 0) 功能 检查用户对某个url内容的可访问性,用于记录如是否赞过,是否访问过等等;开发者可以自由控制,对于没有必要做的检查可以不做,以减少服务器压力 参数 $object: string 访问对象的id,格式:不带前缀的表名+id;如
-
本文向大家介绍详解Nginx 对访问量的控制,包括了详解Nginx 对访问量的控制的使用技巧和注意事项,需要的朋友参考一下 目的 了解 Nginx 的 ngx_http_limit_conn_module 和 ngx_http_limit_req_module 模块,对请求访问量进行控制。 Nginx 模块化 nginx 的内部结构是由核心模块和一系列的功能模块所组成。模块化架构使得每个模块的功能
-
访问控制限制其他源文件和模块对你的代码的访问。这个特性允许你隐藏代码的实现细节,并指定一个偏好的接口让其他代码可以访问和使用。 你可以给特定的单个类型 (类,结构体和枚举)设置访问级别,比如说属性、方法、初始化器以及属于那些类型的下标。协议可以限制在一定的范围内使用,就像全局常量,变量,函数那样。 除了提供各种级别的访问控制,Swift 为典型场景提供默认的访问级别,减少了显式指定访问控制级别的需
-
访问控制用于设置访问负载均衡的IP白名单或IP黑名单。 访问控制用于设置访问负载均衡的IP白名单或IP黑名单,在访问控制策略组中仅可以设置IP地址范围,在配置负载均衡实例监听时可设置是否启用访问控制,并设置针对具体的访问控制策略组设置访问白名单或黑名单。 访问控制来源: 同步公有云上被实例上的监听绑定的访问控制,并自动在访问控制缓存里添加一条记录,同步下来的访问控制默认本域共享。 在云管平台上创建
-
参考http://activemq.apache.org/security.html的ActiveMQ安全留档,我正在尝试将新用户添加到我的ActiveMQ配置中。该用户应该只能看到可用队列的子集。 我做了以下工作: 1)在users.properties中添加了一个条目: 2) 在组中添加了一个条目。属性: 3) 向activemq添加了一个条目。xml,在代理元素的plugins元素中: 当我