MongoDB 基礎 -安全性-(權限操做)

時間  2019-11-10
標籤 mongodb 基礎 安全性 權限 欄目 MongoDB 简体版
原文   原文鏈接

和其餘全部數據庫同樣,權限的管理都差很少同樣。mongodb存儲全部的用戶信息在admin 數據庫的集合system.users中,保存用戶名、密碼和數據庫信息。mongodb默認不啓用受權認證,只要能鏈接到該服務器,就可鏈接到mongod。若要啓用安全認證,須要更改配置文件參數auth。mysql

 https://docs.mongodb.com/manual/reference/method/db.dropAllUsers/sql

https://docs.mongodb.com/v2.6/tutorial/add-user-to-database/mongodb

如下測試理解shell

 

查看數據庫:數據庫

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. > show dbs  

發現 admin 居然沒有!~安全

 

 

找了很久,找不到相關說明,因而直接建立用戶admin服務器

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. use admin  
  2.   
  3.   
  4. db.createUser(  
  5.   {  
  6.     user: "admin",  
  7.     pwd: "admin",  
  8.     roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]  
  9.   }  
  10. )  

成功建立,再查詢admin中的集合,有數據了!app

 

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. > show collections  
  2. system.indexes  
  3. system.users  
  4. system.version  


查看3個集合的信息:測試

 

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. > db.system.users.find();  
  2. { "_id" : "admin.admin", "user" : "admin", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "cFISfpbm04pmIFpqiL340g==", "storedKey" : "WG1DSEEEHUZUBjsjsnEA4RFVY2M=", "serverKey" : "9Lm+IX6l9kfaE/4C25/ghsQpDkE=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }  
  3. >   
  4. > db.system.indexes.find();  
  5. { "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.version" }  
  6. { "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.users" }  
  7. { "v" : 1, "unique" : true, "key" : { "user" : 1, "db" : 1 }, "name" : "user_1_db_1", "ns" : "admin.system.users" }  
  8. >   
  9. > db.system.version.find();  
  10. { "_id" : "authSchema", "currentVersion" : 5 }  
  11. >   


如今啓用 auth:
[root@localhost ~]# vi /etc/mongod.confui

 

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. auth=true  


重啓 mongod 服務:

 

[root@localhost ~]# service mongod restart

 

直接默認登陸,查看集合,發現無權操做了:

[root@localhost ~]# mongo

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. [root@localhost ~]# mongo  
  2. MongoDB shell version: 3.0.2  
  3. connecting to: test  
  4. > show dbs  
  5. 2015-05-09T21:57:03.176-0700 E QUERY    Error: listDatabases failed:{  
  6.     "ok" : 0,  
  7.     "errmsg" : "not authorized on admin to execute command { listDatabases: 1.0 }",  
  8.     "code" : 13  
  9. }  
  10.     at Error (<anonymous>)  
  11.     at Mongo.getDBs (src/mongo/shell/mongo.js:47:15)  
  12.     at shellHelper.show (src/mongo/shell/utils.js:630:33)  
  13.     at shellHelper (src/mongo/shell/utils.js:524:36)  
  14.     at (shellhelp2):1:1 at src/mongo/shell/mongo.js:47  
  15. >   



 

剛纔在數據庫 admin 建立了一個帳戶 admin ,先到數據admin進來鏈接(其餘db則失敗):

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. [root@localhost ~]# mongo  
  2. MongoDB shell version: 3.0.2  
  3. connecting to: test  
  4. >  
  5. > db.auth("admin","admin")  
  6. Error: 18 Authentication failed.  
  7. 0  
  8. > use mydb  
  9. switched to db mydb  
  10. > db.auth("admin","admin")  
  11. Error: 18 Authentication failed.  
  12. 0  
  13. > use admin  
  14. switched to db admin  
  15. > db.auth("admin","admin")  
  16. 1  
  17. >   


db.auth("admin","admin") 返回值爲1,說明登陸成功!~db.auth("admin","admin") 記錄是不存在的,執行完後這一行在shell中不會記錄歷史。

 

 

因此如今建立另外一個用戶"myuser"

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. db.createUser(  
  2.   {  
  3.     user: "myuser",  
  4.     pwd: "myuser",  
  5.     roles: [ { role: "readWrite", db: "mydb" } ]  
  6.   }  
  7. )  


也能夠增刪角色:

 

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. #授予角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])  
  2.   
  3. db.grantRolesToUser( "myuser" , [ { role: "dbOwner", db: "mydb" } ])  
  4.   
  5.   
  6. #取消角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])  
  7.   
  8. db.revokeRolesFromUser( "myuser" , [ { role: "readWrite", db: "mydb" } ])  


由於在admin數據庫建立的,只能在 admin 數據庫中登陸:

 

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. > db.auth("myuser","myuser")  
  2. Error: 18 Authentication failed.  
  3. 0  
  4. >   
  5. > db  
  6. mydb  
  7. > use admin  
  8. switched to db admin  
  9. > db.auth("myuser","myuser");  
  10. 1  
  11. >   


此時是能夠切換到所在的數據庫進行相關操做:

 

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. > use mydb  
  2. switched to db mydb  
  3. >   
  4. > db.tab.save({"id":999});  
  5. WriteResult({ "nInserted" : 1 })  
  6. >   
  7. > db.tab.find({"id":999});  
  8. { "_id" : ObjectId("554ef5ac1b590330c00c7d02"), "id" : 999 }  
  9. >   
  10. > show collections  
  11. system.indexes  
  12. tab  
  13. >   


在建立用戶時能夠在其數據庫中建立,這樣不用每次都進入admin數據庫登陸後再切換。如在數據庫"mydb"建立用戶"userkk"。

 

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. use admin  
  2.   
  3. db.auth("admin","admin")  
  4.   
  5. use mydb  
  6.   
  7. db.createUser(  
  8.   {  
  9.     user: "userkk",  
  10.     pwd: "userkk",  
  11.     roles: [ { role: "dbOwner", db: "mydb" } ]  
  12.   }  
  13. )  
  14.   
  15. db.auth("userkk","userkk")  



 

------------------------------------------------------------------------------------------------------------------

                                                      華麗分割

------------------------------------------------------------------------------------------------------------------

 

如今受權測試:

 

#先訪問到admin數據庫

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. use admin  
  2.   
  3. db.auth("admin","admin")  

 

 

#切換到 mydb ,在數據庫 mydb 中建立角色
#roles: 建立角色"testRole"在數據庫 "mydb" 中
#privileges: 該角色可查看"find"數據庫"mydb"的全部集合
#db.dropRole("testRole")

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. use mydb  
  2.   
  3. db.createRole({   
  4.  role: "testRole",  
  5.  privileges: [{ resource: { db: "mydb", collection: "" }, actions: [ "find" ] }],  
  6.  roles: []  
  7. })  


#在admin數據庫生成集合system.roles。查看角色。

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. > use admin  
  2. switched to db admin  
  3. >   
  4. > show collections  
  5. system.indexes  
  6. system.roles  
  7. system.users  
  8. system.version  
  9. >   
  10. > db.system.roles.find();  
  11. { "_id" : "mydb.testRole", "role" : "testRole", "db" : "mydb", "privileges" : [ { "resource" : { "db" : "mydb", "collection" : "" }, "actions" : [ "find" ] } ], "roles" : [ ] }  
  12. >   


#回到mydb,在數據庫mydb中建立用戶並授予角色"testRole"
#db.dropUser("userkk")

 

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. use mydb  
  2.   
  3. db.createUser(  
  4.   {  
  5.     user: "userkk",  
  6.     pwd: "userkk",  
  7.     roles: [ { role: "testRole", db: "mydb" } ]  
  8.   }  
  9. )  


退出mongodb,從新登陸進行操做。發現只能使用find
>exit

 

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. [root@localhost ~]# mongo  
  2. MongoDB shell version: 3.0.2  
  3. connecting to: test  
  4. > use mydb  
  5. switched to db mydb  
  6. >   
  7. > db.auth("userkk","userkk")  
  8. 1  
  9. >   
  10. > db.tab.find({"id":999})  
  11. { "_id" : ObjectId("554ef5ac1b590330c00c7d02"), "id" : 999 }  
  12. >   
  13. > db.tab.insert({"id":1000})  
  14. WriteResult({  
  15.     "writeError" : {  
  16.         "code" : 13,  
  17.         "errmsg" : "not authorized on mydb to execute command { insert: \"tab\", documents: [ { _id: ObjectId('554f145cdf782b42499d80e5'), id: 1000.0 } ], ordered: true }"  
  18.     }  
  19. })  
  20. >   


給角色 "testRole"  添加3個 「Privileges」權限: "update", "insert", "remove"。再從新操做。

 

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. use admin  
  2.   
  3. db.auth("admin","admin")  
  4.   
  5. use mydb  
  6.   
  7. #添加Privileges給角色  
  8. db.grantPrivilegesToRole("testRole",  
  9.  [{ resource: { db: "mydb", collection: "" },actions: [ "update", "insert", "remove" ]}  
  10. ])  
  11.   
  12.   
  13. exit #退出mongodb從新登陸  
  14.   
  15.   
  16. use mydb  
  17.   
  18. db.auth("userkk","userkk")  
  19.   
  20.   
  21. #增刪數據能夠操做了!~  
  22. db.tab.insert({"id":1000})  
  23. db.tab.find({"id":1000})  
  24. db.tab.remove({"id":1000})  
  25.   
  26.   
  27. #此時admin的角色記錄爲:  
  28. > db.system.roles.find();  
  29. { "_id" : "mydb.testRole", "role" : "testRole", "db" : "mydb", "privileges" : [ { "resource" : { "db" : "mydb", "collection" : "" }, "actions" : [ "find", "insert", "remove", "update" ] } ], "roles" : [ ] }  
  30. >   


#更改角色 roles,把roles值所有更新。一樣Privileges也能夠更新替換!~

 

 

[plain]  view plain  copy
 
 在CODE上查看代碼片派生到個人代碼片
  1. use admin  
  2.   
  3. db.auth("admin","admin")  
  4.   
  5. use mydb  
  6.   
  7. db.updateRole("testRole",{ roles:[{ role: "readWrite",db: "mydb"}]},{ w:"majority" })  
  8.   
  9. db.auth("userkk","userkk")  
  10.   
  11. show dbs  



 

 

關於角色,參考官方文檔提取總結以下:

 

角色分類

角色

權限及角色

(本文大小寫可能有些變化,使用時請參考官方文檔)

Database User Roles

read

CollStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections

readWrite

CollStats,ConvertToCapped,CreateCollection,DbHash,DbStats,

DropCollection,CreateIndex,DropIndex,Emptycapped,Find,

Insert,KillCursors,ListIndexes,ListCollections,Remove,

RenameCollectionSameDB,update

Database Administration Roles

dbAdmin

collStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections,

dropCollection 和 createCollection 在 system.profile

dbOwner

角色:readWrite, dbAdmin,userAdmin

userAdmin

ChangeCustomData,ChangePassword,CreateRole,CreateUser,

DropRole,DropUser,GrantRole,RevokeRole,ViewRole,viewUser

Cluster Administration Roles

clusterAdmin

角色:clusterManager, clusterMonitor, hostManager

clusterManager

AddShard,ApplicationMessage,CleanupOrphaned,FlushRouterConfig,

ListShards,RemoveShard,ReplSetConfigure,ReplSetGetStatus,

ReplSetStateChange,Resync,

 

EnableSharding,MoveChunk,SplitChunk,splitVector

clusterMonitor

connPoolStats,cursorInfo,getCmdLineOpts,getLog,getParameter,

getShardMap,hostInfo,inprog,listDatabases,listShards,netstat,

replSetGetStatus,serverStatus,shardingState,top

 

collStats,dbStats,getShardVersion

hostManager

applicationMessage,closeAllDatabases,connPoolSync,cpuProfiler,

diagLogging,flushRouterConfig,fsync,invalidateUserCache,killop,

logRotate,resync,setParameter,shutdown,touch,unlock

Backup and Restoration Roles

backup

提供在admin數據庫mms.backup文檔中insert,update權限

列出全部數據庫:listDatabases

列出全部集合索引:listIndexes

 

對如下提供查詢操做:find

*非系統集合

*系統集合:system.indexes, system.namespaces, system.js

*集合:admin.system.users 和 admin.system.roles

restore

非系統集合、system.js,admin.system.users 和 admin.system.roles 及2.6 版本的system.users提供如下權限:

collMod,createCollection,createIndex,dropCollection,insert

 

列出全部數據庫:listDatabases

system.users :find,remove,update

All-Database Roles

readAnyDatabase

提供全部數據庫中只讀權限:read

列出集羣全部數據庫:listDatabases

readWriteAnyDatabase

提供全部數據庫讀寫權限:readWrite

列出集羣全部數據庫:listDatabases

userAdminAnyDatabase

提供全部用戶數據管理權限:userAdmin

Cluster:authSchemaUpgrade,invalidateUserCache,listDatabases

admin.system.users和admin.system.roles:

collStats,dbHash,dbStats,find,killCursors,planCacheRead

createIndex,dropIndex

dbAdminAnyDatabase

提供全部數據庫管理員權限:dbAdmin

列出集羣全部數據庫:listDatabases

Superuser Roles

root

角色:dbOwner,userAdmin,userAdminAnyDatabase

readWriteAnyDatabase, dbAdminAnyDatabase,

userAdminAnyDatabase,clusterAdmin

Internal Role

__system

集羣中對任何數據庫採起任何操做

 

 

 

參考:mongo Shell Methods  , Built-In RolesSecurity Methods in the mongo Shell

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程