Debian系统中MongoDB权限设置指南

1. 准备工作：安装MongoDB

在配置权限前，需先安装MongoDB。以Debian Bullseye（11）及以上版本为例，步骤如下：

• 更新系统包列表：sudo apt update && sudo apt upgrade -y
• 导入MongoDB官方GPG密钥：wget -qO - https://www.mongodb.org/static/pgp/server-6.0.asc | sudo apt-key add -
• 添加MongoDB存储库：echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/debian bullseye/mongodb-org/6.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.list
• 安装MongoDB：sudo apt update && sudo apt install -y mongodb-org
• 启动服务并设置开机自启：sudo systemctl start mongod && sudo systemctl enable mongod

2. 启用MongoDB认证

认证是权限管理的基础，需通过配置文件开启：

• 编辑MongoDB配置文件：sudo nano /etc/mongod.conf
• 找到security section，添加或修改以下内容：

  security:
    authorization: enabled
  

• 保存文件并重启MongoDB服务：sudo systemctl restart mongod

3. 创建管理员用户（管理数据库与用户权限）

管理员用户用于管理所有数据库及用户权限，需在admin数据库中创建：

• 连接到MongoDB shell：mongo
• 切换到admin数据库：use admin
• 创建管理员用户（以root角色为例，拥有最高权限）：

  db.createUser({
    user: "admin",
    pwd: "YourStrongAdminPassword", // 替换为强密码
    roles: ["root"] // root角色拥有所有数据库的管理权限
  })
  

• 退出shell：exit

4. 创建数据库用户（分配具体数据库权限）

根据业务需求，为特定数据库创建用户并分配最小必要权限：

• 连接到MongoDB shell（需管理员身份）：mongo -u admin -p YourStrongAdminPassword --authenticationDatabase admin
• 切换到目标数据库（如mydatabase）：use mydatabase
• 创建数据库用户（以readWrite+dbAdmin组合为例，满足读写及数据库管理需求）：

  db.createUser({
    user: "dbUser",
    pwd: "YourUserPassword", // 替换为用户密码
    roles: [
      { role: "readWrite", db: "mydatabase" }, // 读写权限
      { role: "dbAdmin", db: "mydatabase" }    // 数据库管理权限（如创建索引）
    ]
  })
  

• 退出shell：exit

5. （可选）配置IP白名单（限制访问来源）

为增强安全性，可限制仅允许特定IP连接MongoDB：

• 编辑配置文件：sudo nano /etc/mongod.conf
• 在net section添加bindIp和ipWhitelist：

  net:
    bindIp: 127.0.0.1,192.168.1.100  # 绑定本地IP及允许的远程IP
    ipWhitelist:
      - 127.0.0.1                    # 本地访问
      - 192.168.1.100                # 允许的远程IP（替换为实际IP）
  

• 保存文件并重启MongoDB服务：sudo systemctl restart mongod

6. 验证权限设置

通过实际操作确认用户权限是否生效：

• 使用普通用户连接数据库：mongo -u dbUser -p YourUserPassword --authenticationDatabase mydatabase
• 切换到目标数据库：use mydatabase
• 测试写入权限（如插入一条数据）：

  db.testCollection.insertOne({ name: "PermissionTest" })
  

• 若插入成功，说明权限配置正确；若提示“无权限”，需检查角色分配

权限管理最佳实践

• 启用认证：生产环境务必开启authorization: enabled，避免未授权访问。
• 最小权限原则：为用户分配完成工作所需的最小权限（如仅需读取则用read角色，无需写入）。
• 使用强密码：管理员及普通用户密码需包含大小写字母、数字和特殊字符，长度不少于8位。
• 定期审计：通过MongoDB审计框架（需开启auditLog配置）跟踪用户操作，及时发现异常。
• 加密连接：使用SCRAM-SHA-256（默认）或x.509证书加密客户端与服务器之间的通信，防止数据泄露。