MongoDB安全认证

1. 安全认证概述

MongoDB 默认是没有账号的,可以直接连接,无须身份验证。实际项目中肯定是要权限验证的,否则 后果不堪设想。所以对MongoDB进行安全认证 是必须要做的。

为了能保障mongodb的安全可以做以下几个步骤:
1、使用新的端口,默认的27017端口如果一旦知道了ip就能连接上,不太安全
2、设置mongodb的网络环境,最好将mongodb部署到公司服务器内网,这样外网是访问不到的。公司内部访问使用vpn等
3、开启安全认证。认证要同时设置服务器之间的内部认证方式,同时要设置客户端连接到集群的账号密码认证方式

环境准备
最简单的集群是3*3,即三个分片和三个副本集,可以保证高可用,即使一台机器全宕机了,服务仍然能够正常访问。

2. 用户相关操作

2.1 切换到admin数据库对用户的添加

use admin;
db.createUser(userDocument):用于创建 MongoDB 登录用户以及分配权限的方法

db.createUser( 
	{
		user: "账号",
		pwd: "密码",
		roles: [
		{ role: "角色", db: "安全认证的数据库" }, 
		{ role: "角色", db: "安全认证的数据库" }
		]
	} 
)
  • user:创建的用户名称,如 admin、root 、lagou
  • pwd:用户登录的密码
  • roles:为用户分配的角色,不同的角色拥有不同的权限,参数是数组,可以同时设置多个
  • role:角色,MonngoDB 已经约定好的角色,不同的角色对应不同的权限
  • db:数据库实例名称,如 MongoDB 4.0.2 默认自带的有 admin、local、config、test 等,即为哪个数据库实例设置用户
db.createUser({
  user:"root",
  pwd:"123456",
  roles:[{role:"root",db:"admin"}]
})

2.2 修改密码

db.changeUserPassword( 'rootNew' );

2.3 用户添加角色

db.grantRolesToUser( '用户名' , [{ role: '角色名' , db: '数据库名'}])

2.4 以auth方式启动mongod

./bin/mongod -f conf/mongo.conf --auth
(也可以在mongo.conf 中添加auth=true 参数)

2.5 验证用户

db.auth("账号","密码")

2.6 删除用户

db.dropUser("用户名")

3. 角色

3.1 数据库内置的角色

read:允许用户读取指定数据库
readWrite:允许用户读写指定数据库 
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问 system.profile 
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户 
clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限 
readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限 
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限 
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限 
dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限 
root:只在admin数据库中可用。超级账号,超级权限 
dbOwner:库拥有者权限,即readWrite、dbAdmin、userAdmin角色的合体

3.2 各个类型用户对应的角色

数据库用户角色:read、readWrite
数据库管理角色:dbAdmin、dbOwner、userAdmin 
集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager 
备份恢复角色:backup、restore; 
所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
超级用户角色:root 
这里还有几个角色间接或直接提供了系统超级用户的访问(dbOwner 、userAdmin、 userAdminAnyDatabase)

4. 单机安全认证实现流程

创建 mydb1 数据库并创建了两个用户,zhangsan 拥有读写权限,lisi 拥有只读权限测试这两个账户的权限。
以超级管理员登录测试权限。

4.1 创建管理员

MongoDB 服务端开启安全检查之前,至少需要有一个管理员账号,admin 数据库中的用户都被视为管理员
如果 admin 库没有任何用户的话,即使在其他数据库中创建了用户,启用身份验证,默认的连接方式依然会有超级权限,即仍然可以不验证账号密码照样能进行 CRUD,安全认证相当于无效。

shard1:PRIMARY> use admin
switched to db admin
shard1:PRIMARY> db.createUser({
...   user:"root",
...   pwd:"123456",
...   roles:[{role:"root",db:"admin"}]
... })
Successfully added user: {
        "user" : "root",
        "roles" : [
                {
                        "role" : "root",
                        "db" : "admin"
                }
        ]
}
shard1:PRIMARY>

4.2 创建普通用户

如下所示 rpp_resume 是自己新建的数据库,没安全认证之前可以随意 CRUD,其余的都是 mongoDB4.0.2 自带的数据库

shard1:PRIMARY> show dbs
admin       0.000GB
config      0.001GB
local       0.001GB
rpp_resume  0.000GB
  • 为 admin 库创建管理员之后,现在来为普通数据库创建普通用户,以 rpp_resume 为例,方式与创建管理员一致,切换到指定数据库进行创建即可。
  • 如下所示,为 rpp_resume 数据库创建了两个用户,zhangsan 拥有读写权限,lisi 拥有只读权限,密码 都是 123456.
shard1:PRIMARY> show dbs
admin       0.000GB
config      0.001GB
local       0.001GB
rpp_resume  0.000GB
shard1:PRIMARY> use rpp_resume
switched to db rpp_resume
shard1:PRIMARY> db
rpp_resume
shard1:PRIMARY> db.createUser({
...   user:"zhangsan",
...   pwd:"123456",
...   roles:[{role:"readWrite",db:"rpp_resume"}]
... })
Successfully added user: {
        "user" : "zhangsan",
        "roles" : [
                {
                        "role" : "readWrite",
                        "db" : "rpp_resume"
                }
        ]
}
shard1:PRIMARY> db.createUser({
...   user:"lisi",
...   pwd:"123456",
...   roles:[{role:"read",db:"rpp_resume"}]
... })
Successfully added user: {
        "user" : "lisi",
        "roles" : [
                {
                        "role" : "read",
                        "db" : "rpp_resume"
                }
        ]
}
shard1:PRIMARY>

接着从客户端关闭 MongoDB 服务端,之后以安全认证方式进行启动

> use admin
switched to db admin
> db.shutdownServer() 
> server should be down...

4.3 MongoDB 安全认证方式启动

./bin/mongod -f conf/mongo.conf --auth
(也可以在mongo.conf 中添加auth=true 参数)

4.4 以普通用户登录验证权限

普通用户现在仍然像以前一样进行登录,如下所示直接登录进入 rpp_resume 数据库中,登录是成功的,只是登录后日志少了很多东西,而且执行 show dbs 命令,以及 show tables 等命令都是失败的,即使没有被安全认证的数据库,用户同样操作不了,这都是因为权限不足,一句话:用户只能在自己权限范围 内的数据库中进行操作

[root@rpp mongodb]# ./bin/mongo localhost:37017/rpp_resume
MongoDB shell version v4.2.9
connecting to: mongodb://localhost:37017/rpp_resume?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("2450aa2a-b830-40fb-a568-9b22d205bb3e") }
MongoDB server version: 4.2.9
shard1:SECONDARY> show dbs

如下所示,登录之后必须使用 db.auth(“账号”,“密码”) 方法进行安全认证,认证通过,才能进行权限范围内的操作

shard1:SECONDARY> db.auth("zhangsan","123456")
1
shard1:SECONDARY> show dbs
2020-10-11T12:13:30.423+0800 E  QUERY    [js] uncaught exception: Error: listDatabases failed:{
        "operationTime" : Timestamp(1602389608, 1),
        "ok" : 0,
        "errmsg" : "not master and slaveOk=false",
        "code" : 13435,
        "codeName" : "NotMasterNoSlaveOk",
        "$gleStats" : {
                "lastOpTime" : Timestamp(0, 0),
                "electionId" : ObjectId("000000000000000000000000")
        },
        "lastCommittedOpTime" : Timestamp(1602389608, 1),
        "$configServerState" : {
                "opTime" : {
                        "ts" : Timestamp(1602389597, 2),
                        "t" : NumberLong(1)
                }
        },
        "$clusterTime" : {
                "clusterTime" : Timestamp(1602389608, 1),
                "signature" : {
                        "hash" : BinData(0,"MxDcKpZdPP+t62G0PiLfmgaSJMk="),
                        "keyId" : NumberLong("6881926690809839647")
                }
        }
} :
_getErrorWithCode@src/mongo/shell/utils.js:25:13
Mongo.prototype.getDBs/<@src/mongo/shell/mongo.js:135:19
Mongo.prototype.getDBs@src/mongo/shell/mongo.js:87:12
shellHelper.show@src/mongo/shell/utils.js:906:13
shellHelper@src/mongo/shell/utils.js:790:15
@(shellhelp2):1:1
shard1:SECONDARY> rs.slaveOk()
shard1:SECONDARY> show dbs
rpp_resume  0.000GB
shard1:SECONDARY>

4.5 以管理员登录验证权限

客户端管理员登录如下所示,管理员 root 登录,安全认证通过后,拥有对所有数据库的所有权限。

[root@rpp mongodb]# ./bin/mongo localhost:37017
MongoDB shell version v4.2.9
connecting to: mongodb://localhost:37017/test?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("7d54c6fa-bb32-450e-874e-03af43ffc375") }
MongoDB server version: 4.2.9
shard1:SECONDARY> use admin
switched to db admin
shard1:SECONDARY> db.auth("root","123456")
1
shard1:SECONDARY> show dbs
admin       0.000GB
config      0.001GB
local       0.001GB
rpp_resume  0.000GB

5. 分片集群安全认证

5.1 开启安全认证之前进入路由创建管理员和普通用户

参考上面的单机安全认证实现流程

5.2 关闭所有的配置节点 分片节点 和 路由节点

安装psmisc
yum install psmisc
安装完之后可以使用killall 命令 快速关闭多个进程 
killall mongod

5.3 生成密钥文件 并修改权限

openssl rand -base64 756 > /data/mongodb/testKeyFile.file 
chmod 600 /data/mongodb/testKeyFile.file

5.4 配置节点集群和分片节点集群开启安全认证和指定密钥文件

auth=true 
keyFile=/data/mongodb/testKeyFile.file

5.5 在路由配置文件中 设置密钥文件

keyFile=data/mongodb/testKeyFile.file

5.6 启动所有的配置节点 分片节点 和 路由节点 使用路由进行权限验证

可以编写一个shell 脚本 批量启动

./bin/mongod -f config/config-17017.conf 
./bin/mongod -f config/config-17018.conf 
./bin/mongod -f config/config-17019.conf 
./bin/mongod -f shard/shard1/shard1-37017.conf 
./bin/mongod -f shard/shard1/shard1-37018.conf 
./bin/mongod -f shard/shard1/shard1-37019.conf 
./bin/mongod -f shard/shard2/shard2-47017.conf 
./bin/mongod -f shard/shard2/shard2-47018.conf 
./bin/mongod -f shard/shard2/shard2-47019.conf 
./bin/mongos -f route/route-27017.conf

5.7 Spring boot 连接安全认证的分片集群

spring.data.mongodb.username=账号 
spring.data.mongodb.password=密码 
spring.data.mongodb.uri=mongodb://账号:密码@IP:端口/数据库名
posted @ 2020-11-13 12:00  哈喽哈喽111111  阅读(552)  评论(0编辑  收藏  举报