mongodb在centos上如何权限管理

CentOS 上 MongoDB 权限管理实操指南

一 启用认证与基础网络配置

• 编辑配置文件 /etc/mongod.conf，开启访问控制并限制监听地址：
  • 启用认证：

    security:
      authorization: enabled
    

  • 仅本地访问（默认更安全）：

    net:
      bindIp: 127.0.0.1
    

  • 如需远程访问，可改为内网地址或按需设置多个 IP，例如：

    net:
      bindIp: 127.0.0.1,192.168.1.10
    

• 重启服务使配置生效：

  sudo systemctl restart mongod
  

• 防火墙放行端口（如仅内网访问，可省略公网放行）：

  sudo firewall-cmd --permanent --zone=public --add-port=27017/tcp
  sudo firewall-cmd --reload
  

以上步骤完成后，MongoDB 将要求身份认证，并仅监听指定地址。

二 创建管理员与数据库用户

• 连接 shell 并切换到 admin 库创建管理员（示例赋予超级权限，生产环境可按需收敛为 userAdminAnyDatabase 等）：

  mongo
  use admin
  db.createUser({
    user: "admin",
    pwd: "StrongPass!23",
    roles: [{ role: "root", db: "admin" }]
  })
  

• 创建业务库用户（以 sales 库为例，仅授予读写）：

  use sales
  db.createUser({
    user: "sales_rw",
    pwd: "SalesPass!45",
    roles: [{ role: "readWrite", db: "sales" }]
  })
  

• 管理员登录与验证：

  mongo -u admin -p StrongPass!23 --authenticationDatabase admin
  

• 常用内置角色（按需组合）：
  • read：读指定库
  • readWrite：读写指定库
  • dbAdmin：库级管理（索引、统计等）
  • dbOwner：库拥有者（readWrite + dbAdmin + userAdmin）
  • userAdmin：库级用户与角色管理
  • readAnyDatabase / readWriteAnyDatabase：跨库读/写（除 local、config）
  • userAdminAnyDatabase：跨库用户管理
  • clusterAdmin：集群管理
  • root：超级用户 以上命令覆盖创建管理员、业务用户与登录验证的常用路径，并列出常用角色以便授权。

三 细粒度权限与自定义角色

• 场景示例：仅允许对 sales 库的 orders 集合执行 insert / find / update，禁止删除集合或库。
  1. 创建自定义角色：

  use admin
  db.createRole({
    role: "ordersInsertFindUpdate",
    privileges: [{
      resource: { db: "sales", collection: "orders" },
      actions: ["insert", "find", "update"]
    }],
    roles: []
  })
  

  2. 将角色授予业务用户：

  use sales
  db.grantRolesToUser("sales_rw", ["ordersInsertFindUpdate"])
  

  3. 如需撤销危险权限（例如禁止删除库）：

  use admin
  db.revokeRolesFromUser("sales_rw", [{ role: "dbAdmin", db: "sales" }])
  

• 说明：MongoDB 的权限基于“资源 + 操作”的模型，可按库、集合甚至更细粒度进行授权与回收。

四 远程访问与连接字符串示例

• 修改 bindIp 允许远程来源（示例为内网地址，避免直接 0.0.0.0 暴露公网）：

  net:
    bindIp: 127.0.0.1,192.168.10.20
  

  修改后重启服务：

  sudo systemctl restart mongod
  

• 客户端连接示例（注意 –authenticationDatabase 指向创建用户时所在的库，管理员通常为 admin）：

  mongo -u sales_rw -p SalesPass!45 --authenticationDatabase sales 192.168.10.20:27017/sales
  

• 应用连接字符串示例（Node.js 等驱动）：

  mongodb://sales_rw:SalesPass!45@192.168.10.20:27017/sales?authSource=sales
  

以上要点涵盖远程访问配置与正确的认证库指定方式，避免因 authSource 错误导致登录失败。

五 运维与安全加固清单

• 最小权限原则：业务账号仅授予所需角色，避免使用 root；管理员按职责分离（用户管理、集群管理分开）。
• 加密传输：启用 SSL/TLS，配置 net.ssl.mode: requireSSL 与证书路径，防止数据在网络中被窃听。
• 审计与监控：开启审计日志以记录关键操作，结合系统监控与告警，及时发现异常行为。
• SELinux 与系统权限：如启用 SELinux，按需配置策略；确保数据目录（如 /var/lib/mongo 或自定义目录）属主为 mongod:mongod。
• 备份与更新：定期备份（如 mongodump/脚本化快照），并持续应用安全补丁，保持版本更新。