Mongodb之权限认证管理

三月阳光

　　Mongodb默认是不开启认证的，对于数据库来说，这有很大的安全隐患，下面记录下生产中Mongodb权限认证的方法。

一，环境

　　阿里云：CentOS Linux>　　Mongodb版本： 3.6.2

二，添加超级用户
　　Mongodb的权限认证是基于数据库的，要想创建普通用户，必须要通过管理员来操作。
　　

   > use admin　　> db.createUser(    {
　　user: "root",
　　pwd: "123456",
　　roles: [ { role: "root", db: "admin" } ]
　　}
　　)
　　
#结果如下
　　
Successfully added user: {
　　"user" : "root",
　　"roles" : [
　　{
　　"role" : "root",
　　"db" : "admin"
　　}
　　]
　　
}
　　

　　

　　查看用户
　　

> show users　　
{
　　"_id" : "admin.root",
　　"user" : "root",
　　"db" : "admin",
　　"roles" : [
　　{
　　"role" : "root",
　　"db" : "admin"
　　}
　　]
　　
}
　　

三，添加普通用户
　　

> db.createUser(　　{
　　user: "test",
　　pwd: "123456",
　　roles: [ { role: "readWrite", db: "test" }],
　　}
　　)
　　#执行结果
　　
Successfully added user: {
　　"user" : "test",
　　"roles" : [
　　{
　　"role" : "readWrite",
　　"db" : "test"
　　},]
　　
}
　　

　　

四，配置Mongodb开启验证
　　两种方式，一种是mongodb启动时加入--auth参数，另一种是修改配置文件。这里采用修改配置文件的方式。
　　vi  mongo.conf
　　

logpath=/mnt/mongodb/logs/mongodb.log　　
logappend=false
　　
dbpath=/mnt/mongodb/data/db
　　
fork=true
　　
# Enable the HTTP interface (Defaults to port 28017).
　　
#httpinterface=true
　　
bind_ip=192.168.1.54
　　
port=27017
　　
auth=true       #添加auth配置
　　

　　重启mongodb:
　　

ps -ef | grep -v grep | grep mongo | awk '{print $2}' | xargs kill -HUP　　
mongod -f /opt/mongodb/etc/mongo.conf
　　

　　这时再用默认方式登录Mongodb:
　　

mongo　　
MongoDB shell version v3.6.2
　　
connecting to: mongodb://192.168.1.54:27017/test
　　
MongoDB server version: 3.6.2
　　
> show dbs
　　
2018-03-02T11:55:38.884+0800 E QUERY    [thread1] Error: listDatabases failed:{
　　"ok" : 0,
　　"errmsg" : "not authorized on admin to execute command { listDatabases: 1.0, $db: \"admin\" }",
　　"code" : 13,
　　"codeName" : "Unauthorized"
　　
} :
　　
_getErrorWithCode@src/mongo/shell/utils.js:25:13
　　
Mongo.prototype.getDBs@src/mongo/shell/mongo.js:65:1
　　
shellHelper.show@src/mongo/shell/utils.js:813:19
　　
shellHelper@src/mongo/shell/utils.js:703:15
　　
@(shellhelp2):1:1
　　
>
　　

　　会提示没有权限操作。这时需要auth方法去认证。
　　

> use admin　　
switched to db admin
　　
> db.auth('root', '123456')
　　
1
　　

　　返回1说明认证通过。同理，认证test则需要进入test数据库中，再执行auth方法
　　

> use test　　
switched to db test
　　
> db.auth('test', '123456')
　　
1
　　

　　当然也可以在mongo客户端连接时指定用户名密码，如下：
　　

mongo -u test -p 123456 --authenticationDatabase test　　

　　参数比较简单，这里就不做说明了。
　　最后，介绍下Mongodb中角色的定义：
　　角色说明：
　　

read：允许用户读取指定数据库　　
readWrite：允许用户读写指定数据库
　　
dbAdmin：允许用户在指定数据库中执行管理函数，如索引创建、删除，查看统计或访问system.profile
　　
userAdmin：允许用户向system.users集合写入，可以找指定数据库里创建、删除和管理用户
　　
clusterAdmin：只在admin数据库中可用，赋予用户所有分片和复制集相关函数的管理权限。
　　
readAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的读权限
　　
readWriteAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的读写权限
　　
userAdminAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的userAdmin权限
　　
dbAdminAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的dbAdmin权限。
　　
root：只在admin数据库中可用。超级账号，超级权限
　　

　　Mongodb官方关于角色的定义：https://docs.mongodb.com/manual/core/security-built-in-roles/