MongoDB副本集权限重置
背景:某公司线上的一套MongoDB副本集,只知道一个应用库以及该库下对应的一个用户。除此以外,对这套集群一无所知,他们的需求是要拥有超级用户权限,方便以后管理。我虽是一个小渣渣,但以前单位一个很照顾我的老大哥找我帮忙,上吧~虽然我也不怎么熟,但好歹搭建环境测试寻找一个解决方法还是很快的。于是就接下了。虽然我的方法不一定是最好的,摆出来,让大伙儿嘲笑一下吧!
环境:MongoDB v2.6.5
副本集、1主(21011端口)、1备(21012端口)、无仲裁
root用户没有......
admin用户没有......
这套环境说明啥?我关闭实例都得kill......
言归正传,要搞嘛,先备份,这个我研究了,有readWrite权限,你就能把已知的dump出来,先保住一部分数据再说。
思路大概是这样的:
停机是没得说了,kill也是必须的。因为我需要无认证登录,去寻找已存在的最高权限用户或者新增最高权限用户。
下面开始我的操作:
1、kill掉主节点
2、修改主节点配置文件,注释auth、replSet、keyfile
3、重启21011实例,到admin库下
db.system.users.find()
通过该命令查询整个环境都有哪些用户。
执行该命令后结果如下:
{ "_id" : "admin.admin", "user" : "admin", "db" : "admin", "credentials" : { "MONGODB-CR" : "6c99f422503cdd3df4618ee692a95414" }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }
{ "_id" : "admin.root", "user" : "root", "db" : "admin", "credentials" : { "MONGODB-CR" : "cc8f69f8ac660f2edd5ddb6df02f45cf" }, "roles" : [ { "role" : "root", "db" : "admin" } ] }
{ "_id" : "aibot.aibot", "user" : "aibot", "db" : "aibot", "credentials" : { "MONGODB-CR" : "84d87445f04823af2701e8ef38796934" }, "roles" : [ { "role" : "readWrite", "db" : "aibot" } ] }
可能存在两种情况,根据自己的情况而定:
a、如果存在最高权限用户,如role为 userAdminAnyDatabase和root,那么只需要对密码进行更改就好了。
更改密码:
db.changeUserPassword('admin','111111')
db.auth('admin','111111')
db.changeUserPassword('root','111111')
db.auth('root','111111')
b、如果不存最高权限用户,那么就在admin下添加这两个用户
新增用户admin和root
db.createUser({user:"admin",pwd:"111111",roles:[{role:"userAdminAnyDatabase",db:"admin"}]})
db.auth(‘admin’,’111111’)
db.createUser({user:"root",pwd:"111111",roles:[{role:"root",db:"admin"}]})
db.auth(‘root’,’111111’)
4、更改过密码或者新增完密码后,关闭21011实例,更改配置文件,打开auth、replSet、keyfile,再启懂21011实例
5、21011启动后可能会分为两种状态:
a、21011已经变为21012的secondary,这时候,kill掉21012,等待21011升为primary状态,再rs.remove掉21012节点。
b、21011启动就是primary状态,则直接rs.remove掉21012节点。
6、kill掉21012,删除21012对应的数据目录,再创建21012的数据目录,启动21012
7、登录21011,执行rs.add,把21012节点重新加入副本集,等待21012全量同步完数据,变为secondary状态。通过rs.status()查看副本集状态。
8、可以通过21011随便创建个集合插入一个文档进行主备同步的测试,发现21012同步成功后,删除即可。
以上这些步骤,就解决了这个用户权限的问题,如果在数据量巨大的情况下,备节点可能会同步很久,并且在此期间无法对外提供服务。
欢迎各位大神指证问题,或者将更好的方法分享给我,在此谢过!
页:
[1]