• MongoDB安全:创建第1个、第2个、第3个用户


    Windows 10家庭中文版,MongoDB3.6.3,

    前言

    使用mongod命令基于某个空白文件夹(存放数据)启动MongoDB服务器时,要是没有使用--auth选项,启动后,任何客户端是可以无需认证就连接MongoDB服务器的。

    比如,在MongoDB服务器启动后,在本机的终端输入mongo命令即可连接到MongoDB服务。

    没有认证,不安全,在MongoDB服务器发布后,这是决不允许的!

    因此,在使用mongod命令启动MongoDB服务器时,需要添加--auth选项,增加安全认证功能。

    注意,

    MongoDB默认没有添加用户的,基于易用性考虑;

    在默认没有用户时,也是可以开启--auth选项的,因为MongoDB提供了一个localhost exception的功能,此功能允许用户在admin数据库中创建一个用户管理员(user administrator),此用户也是下一节要讲的创建的第1个用户。

    说明,

    MongoDB的安全体系支持下面三种认证机制:

    -SCRAM(默认)

    -MongoDB Challenge and Response (MONGODB-CR)(在3.6时被废弃

    -x.509证书鉴别(Certificate Authentication,孤不熟悉,短时间内不准备去了解)

    创建第1个用户:必须

    第1个用户必须是用户管理员,其角色为userAdmin或userAdminAnyDatabase,这个用户可以用下面的方式管理用户:

    -创建用户

    -给用户赋予(grant)或取消(revoke)某角色

    -创建或修改定制角色

    总之,创建第一个用户使用userAdmin或userAdminAnyDatabase角色就对了!

    孤的操作(mongod的配置参数请参考其help信息):

    在空文件夹使用mongod命令启动MongoDB服务器:使用了--auth选项

    mongod --dbpath d:pmdb018 --logpath d:pmdb018log --logappend --auth --directoryperdb

    创建一个基于角色userAdminAnyDatabase、用于admin数据库的用户admin:

    -先在Notepad++中写入脚本(JavaScript?),如下:

    1 db.createUser(
    2   {
    3     user: "admin",
    4     pwd: "111111",
    5     roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
    6   }
    7 )

    -使用mongo命令连接MongoDB服务器,切换到admin数据库

    -将前面的脚本拷贝到命令行并执行:添加用户admin成功;使用db.auth('admin', '111111')验证,返回1,成功!

    -检查用户admin及其角色的信息:使用db.getUser(...)和db.getRole(....)命令

    断开连接,使用选项--authenticationDatabase "admin"登录:建立连接后,db并非admin,仍然是test(与预期不符!),尚不清楚是怎么回事!

    不管如何,第1个用户建立好了,角色为userAdminAnyDatabase,官文介绍说,除了local和config外,此角色的用户可以对其它数据库进行其角色允许的操作——简单地说就是,用户管理。 

    创建第2个用户:内建角色

    MongoDB 3.6共有7类共17个内建角色,其中,Database User Roles、Database Administration Roles是所有数据库都有的角色,而其它类别的角色是admin数据库独有的。

    目前MongoDB服务器中只有内建数据库,那么,添加一个名为test0709的数据库——使用use,然后编写脚本,建立用户admin0709,密码为111111,使用内建角色readWrite、dbAdmin,脚本如下:

     1 db.createUser(
     2   {
     3     user: "admin0709",
     4     pwd: "111111",
     5     roles: [
     6         { role: "readWrite", db: "test0709" },
     7         { role: "dbAdmin", db: "test0709" }
     8     ]
     9   }
    10 )

    脚本拷贝到终端执行:用户添加成功!

    测试:

    -切换到admin,使用admin0709验证;

    -切换回test0709,使用admin0709验证;

    -查看数据库、集合、用户信息;

    -已经在数据库test0709中添加了用户admin0709,但在show dbs中却没有看到数据库test0709,为什么?那么,断开连接后,再次连接到MongoDB服务器,是否还存在数据库test0709和其上的用户admin0709呢?测试!

    结果显示:show dbs查看不到数据库,但用户admin0709的信息还在。

    -admin0709的其中一个角色为readWrite,那么,测试添加、删除文档——在新的数据集fruit中;

    -dbAdmin角色有创建集合的功能,那么,可以使用db.createCollection(name, options)函数创建集合;

    a.普通集合

    b.固定大小集合(capped)

    -其它测试

    ... 

    注意:用户admin0709在test0709下无法执行show dbs!

    说明,孤对这些操作还不够熟练,需要多多练习才是啊!

    创建第3个用户:自定义角色

    除了内建角色,MongoDB还提供机制自建角色,以满足各种各样的需求,使用db.createRole()函数

    db.createRole()函数语法如下:

    db.createRole(role, writeConcern)

    参数role、wrieConcern都是文档,本文仅关注role文档,下面是官方示例:具体信息请参考官网

    下面新建一个角色myRole:可以在前面的test0709数据库中的集合中添加文档——insert操作。

    同样,将添加角色的脚本(脚本的书写规则是什么?官文在哪里?)写入到文本文件中,然后拷贝到终端执行——用admin可以添加此角色(admin0709不具备此权限):

    角色myRole添加成功,现在,基于此角色添加用户insertUser(还是用admin用户),脚本如下:

    1 db.createUser(
    2     {
    3         user: "insertUser",
    4         pwd: "111111",
    5         roles: [
    6             { role: "myRole", db: "test0709" }
    7         ]
    8     }
    9 )

    拷贝到终端时,执行出错,无法建立用户insertUser,原因是无法找到之前建立的角色myRole!需要做类似flush的操作吗?可是下午添加另一个角色未发现异常啊!

    意外关闭终端后,再次进入终端,此时进入数据库test0709,检查又发现了角色myRole,并且成功添加了用户insertUser:

    为什么会这样呢?!检查了MongoDB服务器的日志信息,也没有发现相关的失败操作,此时,怎么查找问题原因呢?哪些工具可以使用?

    测试insertUser用户:在fruit数据集中插入文档,成功!但是,无法使用insertUser用户查看fruit数据集的文档,因为其不具备find权限!切换为admin0709查看结果,添加成功!

    后记

    总算写完了,今天第四篇,都挺基础的,但真的用力了!

    之前看了菜鸟教程(RUNOOB) ,但因为没有实际操作,结果全忘记了,经过这一遍,好多了,不过呢,还有很多需要练习的!

    更新啊、删除啊……各种!无论是角色还是用户!

    居然可以直接存中文,挺好的,至少目前不用为字符集烦恼了,那么,和Web应用结合起来呢?过两天就知道了!

    就这样!

    可以创建第一个用户了、可以创建角色了、可以创建用户了,那么,单例MongoDB的基本安全应该可以保证了吧!放到公网也不用过于担心被坏人破坏了吧!比特币孤是没有的!万分之一枚也没有的!

    有一个疑问,是否可以在创建数据库之前为数据库、数据集创建角色和用户?此问题源于之前角色创建好勒,可show dbs看不到数据库test0709。

    问题还有一些,一个一个解决,这段时间解决了不少问题了,后面,应该还会更多!(这个蓝色清楚不掉,编辑器的问题吧)

  • 相关阅读:
    leetcode 之Search in Rotated Sorted Array(三)
    leetcode 之Remove Duplicates from Sorted Array(2)
    leetcode 之Remove Duplicates from Sorted Array(1)
    ImageNet Classification with Deep Convolutional Neural Network(转)
    Gradient-Based Learning Applied to Document Recognition 部分阅读
    C++面试总结
    Effective C++笔记(六):继承与面向对象设计
    Effective C++笔记(五):实现
    Effective C++笔记(四):设计与声明
    Learning a Deep Compact Image Representation for Visual Tracking
  • 原文地址:https://www.cnblogs.com/luo630/p/9284844.html
Copyright © 2020-2023  润新知