MongoDB 基础(六)安全认证(权限操作)

和其他所有数据库一样,权限的管理都差不多一样。mongodb存储所有的用户信息在admin 数据库的集合system.users中,保存用户名、密码和数据库信息。mongodb默认不启用授权认证,只要能连接到该服务器,就可连接到mongod。若要启用安全认证,需要更改配置文件参数auth。

以下测试理解

查看数据库:

> show dbs

发现 admin 竟然没有!~

找了好久,找不到相关说明,于是直接创建用户admin

use admin

db.createUser(
  {
    user: "admin",
    pwd: "admin",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

成功创建,再查询admin中的集合,有数据了!

> show collections
system.indexes
system.users
system.version

查看3个集合的信息:

> db.system.users.find();
{ "_id" : "admin.admin", "user" : "admin", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "cFISfpbm04pmIFpqiL340g==", "storedKey" : "WG1DSEEEHUZUBjsjsnEA4RFVY2M=", "serverKey" : "9Lm+IX6l9kfaE/4C25/ghsQpDkE=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }
>
> db.system.indexes.find();
{ "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.version" }
{ "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.users" }
{ "v" : 1, "unique" : true, "key" : { "user" : 1, "db" : 1 }, "name" : "user_1_db_1", "ns" : "admin.system.users" }
>
> db.system.version.find();
{ "_id" : "authSchema", "currentVersion" : 5 }
> 

现在启用 auth:

[[email protected] ~]# vi /etc/mongod.conf

auth=true

重启 mongod 服务:

[[email protected] ~]# service mongod restart

直接默认登录,查看集合,发现无权操作了:

[[email protected] ~]# mongo

[[email protected] ~]# mongo
MongoDB shell version: 3.0.2
connecting to: test
> show dbs
2015-05-09T21:57:03.176-0700 E QUERY    Error: listDatabases failed:{
	"ok" : 0,
	"errmsg" : "not authorized on admin to execute command { listDatabases: 1.0 }",
	"code" : 13
}
    at Error (<anonymous>)
    at Mongo.getDBs (src/mongo/shell/mongo.js:47:15)
    at shellHelper.show (src/mongo/shell/utils.js:630:33)
    at shellHelper (src/mongo/shell/utils.js:524:36)
    at (shellhelp2):1:1 at src/mongo/shell/mongo.js:47
>

刚才在数据库 admin 创建了一个账户 admin ,先到数据admin进来连接(其他db则失败):

[[email protected] ~]# mongo
MongoDB shell version: 3.0.2
connecting to: test
>
> db.auth("admin","admin")
Error: 18 Authentication failed.
0
> use mydb
switched to db mydb
> db.auth("admin","admin")
Error: 18 Authentication failed.
0
> use admin
switched to db admin
> db.auth("admin","admin")
1
> 

db.auth("admin","admin") 返回值为1,说明登录成功!~db.auth("admin","admin") 记录是不存在的,执行完后这一行在shell中不会记录历史。

所以现在创建另一个用户"myuser"

db.createUser(
  {
    user: "myuser",
    pwd: "myuser",
    roles: [ { role: "readWrite", db: "mydb" } ]
  }
)

也可以增删角色:

#授予角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])

db.grantRolesToUser( "myuser" , [ { role: "dbOwner", db: "mydb" } ])

#取消角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])

db.revokeRolesFromUser( "myuser" , [ { role: "readWrite", db: "mydb" } ])

因为在admin数据库创建的,只能在 admin 数据库中登录:

> db.auth("myuser","myuser")
Error: 18 Authentication failed.
0
>
> db
mydb
> use admin
switched to db admin
> db.auth("myuser","myuser");
1
>

此时是可以切换到所在的数据库进行相关操作:

> use mydb
switched to db mydb
>
> db.tab.save({"id":999});
WriteResult({ "nInserted" : 1 })
>
> db.tab.find({"id":999});
{ "_id" : ObjectId("554ef5ac1b590330c00c7d02"), "id" : 999 }
>
> show collections
system.indexes
tab
> 

在创建用户时可以在其数据库中创建,这样不用每次都进入admin数据库登录后再切换。如在数据库"mydb"创建用户"userkk"。

use admin

db.auth("admin","admin")

use mydb

db.createUser(
  {
    user: "userkk",
    pwd: "userkk",
    roles: [ { role: "dbOwner", db: "mydb" } ]
  }
)

db.auth("userkk","userkk")

------------------------------------------------------------------------------------------------------------------

华丽分割

------------------------------------------------------------------------------------------------------------------

现在授权测试:

#先访问到admin数据库

use admin

db.auth("admin","admin")

#切换到 mydb ,在数据库 mydb 中创建角色

#roles: 创建角色"testRole"在数据库 "mydb" 中

#privileges: 该角色可查看"find"数据库"mydb"的所有集合

#db.dropRole("testRole")

use mydb

db.createRole({
 role: "testRole",
 privileges: [{ resource: { db: "mydb", collection: "" }, actions: [ "find" ] }],
 roles: []
})

#在admin数据库生成集合system.roles。查看角色。

> use admin
switched to db admin
>
> show collections
system.indexes
system.roles
system.users
system.version
>
> db.system.roles.find();
{ "_id" : "mydb.testRole", "role" : "testRole", "db" : "mydb", "privileges" : [ { "resource" : { "db" : "mydb", "collection" : "" }, "actions" : [ "find" ] } ], "roles" : [ ] }
>

#回到mydb,在数据库mydb中创建用户并授予角色"testRole"

#db.dropUser("userkk")

use mydb

db.createUser(
  {
    user: "userkk",
    pwd: "userkk",
    roles: [ { role: "testRole", db: "mydb" } ]
  }
)

退出mongodb,重新登录进行操作。发现只能使用find

>exit

[[email protected] ~]# mongo
MongoDB shell version: 3.0.2
connecting to: test
> use mydb
switched to db mydb
>
> db.auth("userkk","userkk")
1
>
> db.tab.find({"id":999})
{ "_id" : ObjectId("554ef5ac1b590330c00c7d02"), "id" : 999 }
>
> db.tab.insert({"id":1000})
WriteResult({
	"writeError" : {
		"code" : 13,
		"errmsg" : "not authorized on mydb to execute command { insert: \"tab\", documents: [ { _id: ObjectId('554f145cdf782b42499d80e5'), id: 1000.0 } ], ordered: true }"
	}
})
>

给角色 "testRole"  添加3个 “Privileges”权限: "update", "insert", "remove"。再重新操作。

use admin

db.auth("admin","admin")

use mydb

#添加Privileges给角色
db.grantPrivilegesToRole("testRole",
 [{ resource: { db: "mydb", collection: "" },actions: [ "update", "insert", "remove" ]}
])

exit #退出mongodb重新登录

use mydb

db.auth("userkk","userkk")

#增删数据可以操作了!~
db.tab.insert({"id":1000})
db.tab.find({"id":1000})
db.tab.remove({"id":1000})

#此时admin的角色记录为:
> db.system.roles.find();
{ "_id" : "mydb.testRole", "role" : "testRole", "db" : "mydb", "privileges" : [ { "resource" : { "db" : "mydb", "collection" : "" }, "actions" : [ "find", "insert", "remove", "update" ] } ], "roles" : [ ] }
>

#更改角色 roles,把roles值全部更新。同样Privileges也可以更新替换!~

use admin

db.auth("admin","admin")

use mydb

db.updateRole("testRole",{ roles:[{ role: "readWrite",db: "mydb"}]},{ w:"majority" })

db.auth("userkk","userkk")

show dbs

关于角色,参考官方文档提取总结如下:


角色分类


角色


权限及角色

(本文大小写可能有些变化,使用时请参考官方文档)


Database User Roles


read


CollStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections


readWrite


CollStats,ConvertToCapped,CreateCollection,DbHash,DbStats,

DropCollection,CreateIndex,DropIndex,Emptycapped,Find,

Insert,KillCursors,ListIndexes,ListCollections,Remove,

RenameCollectionSameDB,update


Database Administration Roles


dbAdmin


collStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections,

dropCollection 和 createCollection 在 system.profile


dbOwner


角色:readWrite, dbAdmin,userAdmin


userAdmin


ChangeCustomData,ChangePassword,CreateRole,CreateUser,

DropRole,DropUser,GrantRole,RevokeRole,ViewRole,viewUser


Cluster Administration Roles


clusterAdmin


角色:clusterManager, clusterMonitor, hostManager


clusterManager


AddShard,ApplicationMessage,CleanupOrphaned,FlushRouterConfig,

ListShards,RemoveShard,ReplSetConfigure,ReplSetGetStatus,

ReplSetStateChange,Resync,

EnableSharding,MoveChunk,SplitChunk,splitVector


clusterMonitor


connPoolStats,cursorInfo,getCmdLineOpts,getLog,getParameter,

getShardMap,hostInfo,inprog,listDatabases,listShards,netstat,

replSetGetStatus,serverStatus,shardingState,top

collStats,dbStats,getShardVersion


hostManager


applicationMessage,closeAllDatabases,connPoolSync,cpuProfiler,

diagLogging,flushRouterConfig,fsync,invalidateUserCache,killop,

logRotate,resync,setParameter,shutdown,touch,unlock


Backup and Restoration Roles


backup


提供在admin数据库mms.backup文档中insert,update权限

列出所有数据库:listDatabases

列出所有集合索引:listIndexes

对以下提供查询操作:find

*非系统集合

*系统集合:system.indexes, system.namespaces, system.js

*集合:admin.system.users 和 admin.system.roles


restore


非系统集合、system.js,admin.system.users 和 admin.system.roles 及2.6 版本的system.users提供以下权限:

collMod,createCollection,createIndex,dropCollection,insert

列出所有数据库:listDatabases

system.users :find,remove,update


All-Database Roles


readAnyDatabase


提供所有数据库中只读权限:read

列出集群所有数据库:listDatabases


readWriteAnyDatabase


提供所有数据库读写权限:readWrite

列出集群所有数据库:listDatabases


userAdminAnyDatabase


提供所有用户数据管理权限:userAdmin

Cluster:authSchemaUpgrade,invalidateUserCache,listDatabases

admin.system.users和admin.system.roles:

collStats,dbHash,dbStats,find,killCursors,planCacheRead

createIndex,dropIndex


dbAdminAnyDatabase


提供所有数据库管理员权限:dbAdmin

列出集群所有数据库:listDatabases


Superuser Roles


root


角色:dbOwner,userAdmin,userAdminAnyDatabase

readWriteAnyDatabase, dbAdminAnyDatabase,

userAdminAnyDatabase,clusterAdmin


Internal Role


__system


集群中对任何数据库采取任何操作

参考:mongo Shell Methods  , Built-In
Roles

时间: 2024-10-08 04:39:53

MongoDB 基础(六)安全认证(权限操作)的相关文章

【Mongodb】用户和认证 权限总结

开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以对数据库任意操作而且可以远程访问数据库!   在刚安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息!当admin.system.users一个用户都没有时,即使mongod启动时添加了--auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以--auth 参数启动),直到在admin.system.users中添

mongodb基础学习12-分组group操作

group可以实现常用的统计操作,如求最大值,最小值,求和 其中reduce是最关键的操作,是对每一条记录的具体操作 下面来看例子: 分组count求和 部分结果 下面的加了个查询条件,即查询价格大于50的数据 求分组商品总数量 求分组最贵商品价格 求分组商品平均价格 问题:group不支持分片集群,如果想要支持分片,可以用aggregate框架或者mapReduce 原文地址:https://www.cnblogs.com/liunianfeiyu/p/10091027.html

【原】无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础认证权限

开发环境搭建参见<[原]无脑操作:IDEA + maven + SpringBoot + JPA + Thymeleaf实现CRUD及分页> 需求: ① 除了登录页面,在地址栏直接访问其他URL,均跳转至登录页面 ② 登录涉及帐号和密码,帐号错误提示帐号错误,密码错误提示密码错误 ③ 登录成功跳转至首页,首页显示登录者帐号信息,并有注销帐号功能,点击注销退出系统 ------------------------------------------------------------------

MongoDB基础安装、操作

内容要点: MongoDB介绍 linux系统安装MongoDB MongoDB基础操作 一.MongoDB : (1)MongoDB是一个基于分布式文件存储的数据库.由C++语言编写.旨在为WEB应用提供可扩展的高性能数据存储解决方案. (2)MongoDB是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的.它支持的数据结构非常松散,是类似json的bson格式,因此可以存储比较复杂的数据类型.Mongo最大的特点是它支持的查询语言非常强大,其语法有点

windows下mongodb基础玩法系列二CURD操作(创建、更新、读取和删除)

windows下mongodb基础玩法系列 windows下mongodb基础玩法系列一介绍与安装 windows下mongodb基础玩法系列二CURD操作(创建.更新.读取和删除) 简单说几句 在mongodb中3元素:db(数据库).collection(集合).document(文档) 其中collection类似于数据库中的表,document类似于行,这样一来我们就将内容对比起来记忆学习了. 数据格式 MongoDB documents是BSON格式(一种类json的一种二进制形式的存

深入浅出MongoDB(六)java操作mongodb增删改查

java操作mysql数据库的代码我们已经了如指掌了,增删改查,java对mongodb数据库也是类似的操作,先是数据库连接,再是进行操作. 首先我们进入进入admin数据库,然后建立自己的数据库testMongoDb,进入admin数据库后,就可以直接进入testMongoDb,因为用户可以进入系统的数据库,就是超级管理员,use testMongoDb后,为该数据库设置用户名和密码,db.addUser('root','root'),这样我们在程序中连该数据库,并实现增删改查,代码如下所示.

Linux基础之权限操作

Linux权限管理是Linux中一个十分重要的概念,也是系统安全性的重要保障.这里主要介绍Linux的基本权限和默认权限,通过理论讲解与实验演示,可以详细了解到权限的相关操作及其重要性. 文件权限 [[email protected] ~]# ls -l /etc/passwd-rw-r–r–. 1 root root 2133 Apr 16 11:33 /etc/passwd[[email protected] ~]# 文件的权限:所有者,所属组,其他人rwx,读.写.执行,没有权限就是"-&

MongoDB基础学习

一 简介 MongoDB是一款强大.灵活.且易于扩展的通用型数据库1.易用性 MongoDB是一个面向文档(document-oriented)的数据库,而不是关系型数据库. 不采用关系型主要是为了获得更好得扩展性.当然还有一些其他好处,与关系数据库相比,面向文档的数据库不再有"行"(row)的概念取而代之的是更为灵活的"文档"(document)模型. 通过在文档中嵌入文档和数组,面向文档的方法能够仅使用一条记录来表现复杂的层级关系,这与现代的面向对象语言的开发者

MongoDB安全及身份认证

前面的话 本文将详细介绍MongoDB安全相关的内容 概述 MongoDB安全主要包括以下4个方面 1.物理隔离 系统不论设计的多么完善,在实施过程中,总会存在一些漏洞.如果能够把不安全的使用方与MongoDB数据库做物理上的隔离,即通过任何手段都不能连接到数据库,这是最安全的防护.但,通常这是不现实的.一些重要的数据可能会保存下来,放置到物理隔离的机房中 2.网络隔离 许多公司的开发机处于内网环境中.即使数据库存在漏洞,外部环境也没有机会利用,因为根本无法访问内网 3.防火墙隔离 可以利用防火