Mongodb安全认证

Mongodb安全认证在单实例和副本集两种情况下不太一样,单实例相对简单,只要在启动时加上 --auth参数即可,但副本集则需要keyfile。

一、单实例

1.启动服务(先不要加auth参数)

2.登陆后切换到admin库并添加管理员账号

2.1  创建系统管理员用户

默认条件下,超级管理员只能用于帐号管理,不能进行其他数据库操作,可以通过自己给自己授权实现。生产环境中的管理员,如果某个帐号包含了角色userAdminAnyDatabase或者userAdmin,就应该仅仅用于帐号和角色管理,不应该再授予别的角色了。

(1)我们首先就要建立一个超级管理员,然后再用超级管理员建立其他帐号:

use admin

db.addUser( { user: "superman", pwd: "talent", roles: [ "userAdminAnyDatabase" ] } )

(2)为帐号启用admin数据库认证,这样他就可以操作admin数据库了。
   db.auth("root", "123456")  //为账号授权
   db.system.users.find(); //查看当前已有的用户信息

(3)使用用刚才的超级帐号登录数据库(admin)mongo localhost:27017admin -u superman -p superman

现在,我们就可以为其他数据库添加用户了:

比如test库

use test

db.addUser("text","text")

授予这个用户的权限:(必须要,否则无法进行读写操作)

db.auth("text","text")

(4)现在可以用新用户登录并且操作test数据库了

3.关闭本地例外登录方式

一旦拥有了超级管理员,就可以考虑关闭本地例外方式登录了

方法如下:

重启数据库,启动时候加上--setParameter enableLocalhostAuthBypass=0即可,这样登录的话就必须要用账户认证了

4.删除用户

删除用户要针对某个数据库进行删除

> use test

switched to db test

> db.removeUser("superman11111")

5.修改用户密码

普通用户只能修改自己的密码,userAdmin角色帐号可以修改其他用户密码

例如:

mongo 192.168.69.54:40000/admin -u superman -p superman

use test

db.changeUserPassword("test","111")

二、副本集认证

副本集总体思路是用户名、密码和keyfile文件,keyfile需要各个副本集服务启动时加载而且要是同一文件,然后在操作库是需要用户名、密码

KeyFile文件必须满足条件:

(1)至少6个字符,小于1024字节

(2)认证时候不考虑文件中空白字符

(3)连接到副本集的成员和mongos进成的keyfile文件内容必须一样

(4)必须是base64编码,但是不能有等号

(5)文件权限必须是x00,也就是说,不能分配任何权限给group成员和other成员

注:win下可以通过记事本文件,输入任意内容,删除后缀名后使用,是否可行还在试验

以副本集sh0为例:(以下为linux系统操作,win系统出了创建keyfile文件不一样 其他相同)

1.生成keyFile文件:

在54上执行:

[[email protected] ~]# openssl rand -base64 100 > /mongodb/scheme2/keyfile0 --文件内容采base64编码,一共100个字符

2.修改文件权限:

[[email protected] ~]# chmod 600 /mongodb/scheme2/keyfile0

把生成的文件拷贝到副本集剩余各台机器上,存放的目录可以不一样,注意权限。

3.三台机器启动时指定--keyFile选项

numactl --interleave=all  mongod  --replSet sh0 --port 10000 \

--dbpath=/mongodb/scheme2/sh0/data --logpath=/mongodb/scheme2/sh0/logs/sh0.log \

--logappend --fork --directoryperdb --bind_ip=127.0.0.1,192.168.69.54 --nohttpinterface \

--keyFile=/mongodb/scheme2/keyfile0

这样,没有这个文件的机器就无法加入副本集,Sh1和sh2副本集的操作类似。

开启了keyFile,隐含就开启了auth,这个时候连接副本集就需要进行认证了,否则只能通过本地例外方式操作数据库。

在副本集中添加用户需要在服务未加--keyFile参数启动的情况加按照单实例方法添加(访问任意一个副本器操作,其他副本集会自动同步),账户添加、授权成功后重新加入keyFile启动服务,即可完成并使用。

三 副本集+分片环境下的认证

结合上面的两种环境的认证方式,可以实现副本集+分片环境中安全认证,需要注意以下几点

1.在分片集群环境中,副本集内成员之间需要用keyFile认证,mongos与配置服务器,副本集之间也要keyFile认证,集群所有mongod和mongos实例使用内容相同的keyFile文件。

2.进行初始化,修改副本集时,都从本地例外登录进行操作

3.由于启用了认证,需要建立一个管理员帐号,才能从远程登录。建立管理员帐户,利用管理员账户从远程登录后,需要建立一个可以操作某个数据库的用户,客户端就用这个用户访问数据库。

4.分片集群中的管理员帐号需要具备配置服务器中admin和config数据库的读写权限,才能进行分片相关操作

5.集群中每个分片有自己的admin数据库,存储了集群的各自的证书和访问权限。如果需要单独远程登录分片,可以按照3.2的办法建立用户

相关操作如下:

1.启动集群中的配置服务器,路由进程和副本集,每个进程都要指定KeyFile文件,而且每个进程的keyfile内容相同,详细操作见3.2。

2.初始化副本集。

3. 连接mongos,为集群建立管理员帐号和普通帐号,步骤如下;

(1)建立管理员帐号

管理员需要具备对集群中配置服务器的读写权限,这些权限包括:

建立新的普通管理员,用于客户端连接集群中的数据库;

分片相关权限,例如查看分片状态,启用分片,设置片键等操纵。

首先用本地例外方式登录,建立管理员帐号:

[[email protected] ~]# mongo --port 30000

mongos> use admin

db.addUser( { user: "superman",

pwd: "superman",

roles: [ "clusterAdmin","userAdminAnyDatabase","dbAdminAnyDatabase","readWriteAnyDatabase" ] } )

mongos> db.auth("superman","superman")

mongos> use config

switched to db config

mongos> db.addUser( { user: "superman",

pwd: "superman",

roles: [ "clusterAdmin","userAdminAnyDatabase","dbAdminAnyDatabase","readWriteAnyDatabase" ] } )

mongos> db.auth("superman","superman")

(2)用上面建立的管理员帐号登录mongos进程,对数据库(比如test)启用分片,设置集合片键。

(3)用管理员账户登录,建立新账户,让他可以读写数据库test

[[email protected] ~]# mongo localhost:30000/admin -u superman -p superman

mongos> use test

switched to db test

mongos> db.addUser("test","test")

{

"user" : "test",

"readOnly" : false,

"pwd" : "a6de521abefc2fed4f5876855a3484f5",

"_id" : ObjectId("51fb5d4ecaa5917203f37f63")

}

mongos> db.auth("test","test")

1

(4)用新帐号test登录,操作数据库test

[[email protected] ~]# mongo localhost:30000/test -u test -p test

MongoDB shell version: 2.4.4

connecting to: localhost:30000/test

> for( var i = 1; i < 100000; i++ ) db.test.insert( { x:i, C_ID:i } );

说明:为分片集群启用认证后,本地例外方式登录由于只具备admin数据库读写权限,无法进行分片操作。对本例来讲,添加分片,查看分片状态等操作都需要用superman帐号登录才行。执行数据库test操作用test帐号,这个帐号就是提供给客户端的帐号。

四 java操作中用户验证登陆

对于认证启动的服务,在java中操作在原有基础上增加一部db验证即可

DB db = mongo.getDB("dbname");

boolean auth = db.authenticate("name","password".toCharArray());

验证成功则返回true 否则返回false

注:db验证只能一次,如果成功后就不能继续验证,否则会报重复验证异常

然就就可按需求进行相关操作

部分参考 http://www.91linux.com/html/article/database/MongoDB/2013/0923/22679.html

相关参考 http://www.linuxidc.com/Linux/2012-06/63588.htm

http://www.dotblogs.com.tw/newmonkey48/archive/2012/12/05/85431.aspx

http://www.cnblogs.com/-clq/archive/2012/03/02/2376972.html

http://blog.csdn.net/lzy_1515/article/details/7027474

http://www.blogjava.net/anchor110/articles/385978.html

http://www.oschina.net/code/snippet_35115_2888

http://blog.sina.com.cn/s/blog_8413c1e201019l4e.html

http://www.linuxidc.com/Linux/2013-07/86926.htm

http://www.cnblogs.com/zcy_soft/archive/2011/04/09/2010578.html

时间: 2024-10-24 15:34:35

Mongodb安全认证的相关文章

mongo db 学习笔记 之二: mongodb 用户认证

首先要知道mongodb默认安装后是没有任何认证开启的,也就是说,所有能连接到服务器的人都能进数据查看,当然,你可以用防火墙来挡.但没有防火墙的保护,数据库暴露出来是非常危险的. mongodb关于安全分为几个方面,主要是:认证,基于角色的访问控制(授权),审计,加密,部署和环境的安全(涉及到网络跟系统的访问环境). 一 关于认证 使用用户名认证指令为: mongo --port 27017 -u manager -p 12345678 --authenticationDatabase admi

mongodb 在认证(auth)的情况下,配置主从(master &amp; slave)

master配置 本机 :192.168.100.23:27017 /etc/mongodb/mongo.conf port = 27017  dbpath = /data/mongodb_t  logpath = /var/log/mongodb_t.log  logappend = true  journal = true  fork = true 1. 以上配置单机打开mongo,对admin数据库进行设置 据资料, 必须建立全局用户root,个人感觉是超级管理员: 必须对local数据库

mongodb 安全认证

默认情况下,mongodb不启用验证的.数据库级别的权限,要么可读写要么只读权限.mongod的验证配置比较操蛋. 分两种情形:一种是单服务器,只需启动时添加–auth参数即可. 另一种是复制集.分片集群服务器,必须指定keyfile参数,其他节点之间的通讯基于该keyfile. 在这种情况下,–auth参数是隐含启用的,所有的mongodb访问都必须验证的. Mongodb中安全权限验证是数据库级别的 1.在admin中创建的 权限账号是全局性的,可以访问所有DB: 2.在非admin中创建的

mongodb分片认证

启动configsvr 1. 确保mongdb的configsvr是采用service模式启动的,即从/etc/init.d下的脚本启动的,其用户是mongod. 2. 确保mongod的配置文件完全相同. 3. 确保整个集群的所有keyFile文件内容相同. 启动mongos 1. 使用以下命令启动,以确保用户切换为mongod: runuser -s /bin/bash mongod -c '/usr/bin/mongos --configdb confighost-01:27019,con

【Mongodb】用户和认证 权限总结

开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以对数据库任意操作而且可以远程访问数据库!   在刚安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息!当admin.system.users一个用户都没有时,即使mongod启动时添加了--auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以--auth 参数启动),直到在admin.system.users中添

mongodb 安装到创建用户,认证auth,httpinterface

今天花了一天时间来解开这个mongodb的谜团,如果有遇到了其他的问题,可以咨询我. #开始 2.6.10安装方式 不同版本后面设置用户权限方式有所差异 #下载这个版本的mongodb mongodb-linux-x86_64-2.6.10.gz #解压到当前目录tar -zxf mongodb-linux-x86_64-2.6.10.gz #更改文件夹名称mv mongodb-linux-x86_64-2.6.10 mongodb2.6.10 #在mongodb2.6.10 下创建mongod

mongodb添加用户认证

连接上mongodb并新建用户 use mall db.createUser(    {      user: "haha",      pwd: "123456",      roles:        [          { role: "readWrite", db: "mall" },                  ]    } 启动的时候添加--auth参数 可以用-u -p参数登陆 -> mongo [

5、MongoDB学习之安全与认证

每个MongoDB库可以有许多用户,只有开启了用户并且有对于的库操作权限才能读写操作,MongoDB安全机制为:1.首先要建立一个超级用户,可以由超级用户认证后再创建对应库的用户 目标: 1.创建一个超级用户进行管理(包括创建新用户) 2.超级用户认证后再创建普通用户用于读写对应的数据库 版本: > db.version() 3.4.7 一.使用admin数据库 > use admin switched to db admin > show collections 二.创建超级用户 &g

[ MongoDB ] 3.X权限认证控制

1. 前言 介绍 Mongodb 3.X 的认证控制 2. 环境搭建 [[email protected]192.168.118.16 /usr/local/src]#wget http://downloads.mongodb.org/linux/mongodb-linux-x86_64-3.6.11.tgz [[email protected]192.168.118.16 /usr/local/src]#tar xf mongodb-linux-x86_64-3.6.11.tgz [[emai