共計 3192 個字符，預計需要花費 8 分鐘才能閱讀完成。

這篇文章主要為大家展示了“MongoDB 安全及身份認證的示例分析”，內容簡而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓丸趣 TV 小編帶領大家一起研究并學習一下“MongoDB 安全及身份認證的示例分析”這篇文章吧。

概述

MongoDB 安全主要包括以下 4 個方面

1、物理隔離

系統不論設計的多么完善，在實施過程中，總會存在一些漏洞。如果能夠把不安全的使用方與 MongoDB 數據庫做物理上的隔離，即通過任何手段都不能連接到數據庫，這是最安全的防護。但，通常這是不現實的。一些重要的數據可能會保存下來，放置到物理隔離的機房中

2、網絡隔離

許多公司的開發機處于內網環境中。即使數據庫存在漏洞，外部環境也沒有機會利用，因為根本無法訪問內網

3、防火墻隔離

可以利用防火墻配置 IP 白名單，只允許某些 IP 訪問數據庫，也可以從一定程度上增加 MongoDB 的安全性

4、用戶名密碼鑒權

相對于以上 3 種方式，用戶名密碼鑒權機制是最常見的 MongoDB 安全措施。如果密碼設置的比較簡單，或者連接環境不是加密環境，很可能被第三方獲取到用戶名和密碼，從而造成 MongoDB 數據庫的危險

權限認證

mongodb 存儲所有的用戶信息在 admin 數據庫的集合 system.users 中，保存用戶名、密碼和數據庫信息。mongodb 默認不啟用權限認證，只要能連接到該服務器，就可連接到 mongod。若要啟用安全認證，需要更改配置文件參數 authorization，也可以簡寫為 auth。

然后，重啟 mongod。查看日志文件，發現權限認證已經開啟

但是，不使用用戶名和密碼依然可以連接到數據庫。這是因為，我們還沒有創建用戶。在用戶創建，并且開啟權限認證之后，如果不使用用戶名和密碼將不能夠連接到數據庫

角色管理

在進行用戶管理之前，首先要先了解角色管理

MongoDB 支持基于角色的訪問控制（RBAC）來管理對 MongoDB 系統的訪問。一個用戶可以被授權一個或者多個:ref: 角色 roles 以決定該用戶對數據庫資源和操作的訪問權限。在權限以外，用戶是無法訪問系統的

數據庫角色在創建用戶中的 role 參數中設置。角色分為內建角色和自定義角色

【內建角色】

MongoDB 內建角色包括以下幾類

1、數據庫用戶角色

read：允許用戶讀取指定數據庫
readWrite：允許用戶讀寫指定數據庫 

2、數據庫管理員角色

dbAdmin：允許用戶進行索引創建、刪除，查看統計或訪問 system.profile，但沒有角色和用戶管理的權限
userAdmin：提供了在當前數據庫中創建和修改角色和用戶的能力
dbOwner：  提供對數據庫執行任何管理操作的能力。這個角色組合了 readWrite、dbAdmin 和 userAdmin 角色授予的特權。

3、集群管理角色

clusterAdmin ：  提供最強大的集群管理訪問。組合 clusterManager、clusterMonitor 和 hostManager 角色的能力。還提供了 dropDatabase 操作
clusterManager ：  在集群上提供管理和監視操作。可以訪問配置和本地數據庫，這些數據庫分別用于分片和復制
clusterMonitor ：  提供對監控工具的只讀訪問，例如 MongoDB 云管理器和 Ops 管理器監控代理。hostManager ：  提供監視和管理服務器的能力。

4、備份恢復角色

backup ：  提供備份數據所需的能力，使用 MongoDB 云管理器備份代理、Ops 管理器備份代理或使用 mongodump
restore ：  提供使用 mongorestore 恢復數據所需的能力 

5、所有數據庫角色

readAnyDatabase：只在 admin 數據庫中可用，賦予用戶所有數據庫的讀權限  
readWriteAnyDatabase：只在 admin 數據庫中可用，賦予用戶所有數據庫的讀寫權限  
userAdminAnyDatabase：只在 admin 數據庫中可用，賦予用戶所有數據庫的 userAdmin 權限  
dbAdminAnyDatabase：只在 admin 數據庫中可用，賦予用戶所有數據庫的 dbAdmin 權限。

6、超級用戶角色

root：提供對 readWriteAnyDatabase、dbAdminAnyDatabase、userAdminAnyDatabase、clusterAdmin、restore 和 backup 的所有資源的訪問 

7、內部角色

__system :  提供對數據庫中任何對象的任何操作的特權 

【自定義角色】

除了使用內建的角色之外，MongoDB 還支持使用 db.createRole() 方法來自定義角色

[注意] 只能在 admin 數據庫中創建角色，否則會失敗

role: 自定義角色的名稱

privileges: 權限操作

roles：繼承的角色。如果沒有繼承的角色，可以設置為空數組

use admin
db.createRole(
 {
 role:  myClusterwideAdmin ,
 privileges: [ { resource: { cluster: true }, actions: [  addShard  ] },
 { resource: { db:  config , collection:   }, actions: [  find ,  update ,  insert ,  remove  ] },
 { resource: { db:  users , collection:  usersCollection  }, actions: [  update ,  insert ,  remove  ] },
 { resource: { db:  , collection:   }, actions: [  find  ] }
 ],
 roles: [ { role:  read , db:  admin  }
 ]
 },
 { w:  majority  , wtimeout: 5000 }
)

用戶管理

【創建用戶】

使用 createUser 命令來創建用戶

user: 用戶名 pwd: 密碼

customData: 對用戶名密碼的說明 (可選項)

roles: {role: 繼承自什么角色類型，db: 數據庫名稱}

db.createUser({user:  ... ,pwd:  ... ,customDate: ... ,roles:[{role:  ... ,db:  ...}]})

1、創建管理員用戶

MongoDB 沒有默認管理員賬號，所以要先添加管理員賬號。切換到 admin 數據庫，添加的賬號才是管理員賬號

在 admin 數據庫中，添加一個用戶并賦予 userAdminAnyDatabase 角色

db.createUser({user:  admin ,pwd:  123456 ,roles: [ { role:  userAdminAnyDatabase , db:  admin  } ]})

2、重新登錄數據庫，并驗證權限

如果 auth() 方法返回 0 則代表授權失敗，返回 1 代表授權成功

db.auth()

3、添加普通用戶

一旦經過認證的用戶管理員，可以使用 db.createUser() 去創建額外的用戶。可以分配 mongodb 內置的角色或用戶自定義的角色給用戶

[注意] 需要在 admin 數據庫下進行認證，否則認證不成功

由于該用戶只有讀權限，所以會寫入數據失敗

4、創建超級用戶

【查看用戶】

db.system.users.find()

【刪除用戶】

db.dropUser()

【添加用戶權限】

db.grantRolesToUser()

給在 db1 數據庫中只讀的 x 用戶，添加寫權限

【修改密碼】

db.changeUserPassword()

以上是“MongoDB 安全及身份認證的示例分析”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注丸趣 TV 行業資訊頻道！