MongoDB Ubuntu权限如何设置

Ubuntu 上 MongoDB 权限设置实操指南

一 核心原则与准备

• 使用最新版 Ubuntu 的包管理器安装 MongoDB，并以服务方式运行（常见服务名为 mongod）。
• 安全基线：先限制访问来源，再开启认证，最后按库创建最小权限用户。
• 客户端建议使用 mongosh（若系统仍保留旧的 mongo 命令，建议升级）。

二 配置网络与认证

• 编辑配置文件（常见路径为 /etc/mongod.conf 或 /etc/mongodb.conf），仅允许可信网络访问并开启授权：

net:
  port: 27017
  bindIp: 127.0.0.1   # 仅本地；如需内网访问，可改为内网网段如 192.168.1.0/24 或具体 IP
security:
  authorization: enabled

• 重启服务使配置生效（服务名可能为 mongod 或 mongodb）：

sudo systemctl restart mongod
# 或
sudo systemctl restart mongodb

• 说明：
  • 将 bindIp 设为 127.0.0.1 可避免公网直连风险；需要远程访问时再改为内网地址或白名单网段。
  • 开启 authorization: enabled 后，所有连接均需提供有效凭据。

三 创建管理员与数据库用户

• 使用管理员账户连接并创建高权限用户（注意：创建第一个管理员前，若库内无任何用户，MongoDB 可能允许本机无认证进入以完成初始化；完成用户创建后，必须认证才能操作）：

mongosh mongodb://localhost:27017

use admin
db.createUser({
  user: "admin",
  pwd: "StrongPass!2025",
  roles: [
    { role: "userAdminAnyDatabase", db: "admin" },  // 用户管理
    { role: "readWriteAnyDatabase", db: "admin" }, // 必要时再授予全局读写
    { role: "clusterAdmin", db: "admin" }         // 集群管理（可选）
  ]
})

• 为业务库创建最小权限用户（示例为库 my_db）：

use my_db
db.createUser({
  user: "app_user",
  pwd: "AppPass!2025",
  roles: [
    { role: "dbOwner", db: "my_db" }  // 包含读写、索引、用户在该库的管理等
    // 或仅读写：{ role: "readWrite", db: "my_db" }
  ]
})

• 常用角色速览：
  • 数据库级：read、readWrite、dbOwner
  • 管理类：dbAdmin、userAdmin
  • 全局类：readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase
  • 集群类：clusterAdmin
  • 超级用户：root（谨慎使用）

四 连接验证与权限测试

• 使用创建的用户连接并验证权限：

# 连接业务库并认证
mongosh mongodb://app_user:AppPass!2025@localhost:27017/my_db

# 在 shell 内验证当前用户
use my_db
show users
db.getName()  # 应返回 my_db

• 若认证失败，请检查用户名、密码、目标库（–authenticationDatabase 需与创建用户时的 db 一致，常见为 admin 或业务库）、以及服务是否开启授权。

五 常见运维与安全建议

• 远程访问务必通过防火墙/安全组限制来源 IP，避免将 bindIp 设为 0.0.0.0 暴露公网。
• 遵循最小权限原则：应用账户只授予目标库的 readWrite 或 dbOwner，避免滥用 root。
• 定期轮换密码，使用强口令；可按需启用 SCRAM-SHA-256 等更安全的机制。
• 备份与审计：定期执行 mongodump、启用审计日志（企业版），并监控异常登录与权限变更。