Debian系统MongoDB权限管理详解

一、基础环境配置

1. 安装MongoDB
   使用APT仓库安装，需先导入密钥并添加源：

   wget -qO - https://www.mongodb.org/static/pgp/server-6.0.asc | sudo apt-key add -
   echo "deb [arch=amd64,arm64] https://repo.mongodb.org/apt/debian bullseye/mongodb-org/6.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.list
   sudo apt update && sudo apt install -y mongodb-org
   

2. 启用认证
   编辑配置文件 /etc/mongod.conf，添加以下内容：

   security:
     authorization: enabled
   

   重启服务生效：

   sudo systemctl restart mongod
   

二、用户权限管理

1. 创建管理员用户

以root角色创建管理员，用于全局管理：

mongo
use admin
db.createUser({
  user: "admin",
  pwd: "强密码",
  roles: ["root"]
})

注：root角色拥有所有数据库的完全权限。

2. 创建数据库用户并分配角色

• 普通读写用户（针对特定数据库）：

  use mydatabase
  db.createUser({
    user: "appUser",
    pwd: "应用密码",
    roles: [{ role: "readWrite", db: "mydatabase" }]
  })
  

• 数据库管理员（可管理数据库结构和用户）：

  use mydatabase
  db.createUser({
    user: "dbAdmin",
    pwd: "admin密码",
    roles: ["dbAdmin", "userAdmin"]
  })
  

*常用角色：read（只读）、readWrite（读写）、dbAdmin（数据库管理）、userAdmin（用户管理）。

3. 验证用户权限

使用新用户登录并测试权限：

mongo -u appUser -p "应用密码" --authenticationDatabase mydatabase
db.runCommand({ connectionStatus: 1 })  # 查看当前用户权限

三、高级权限管理

1. 基于集合的权限控制

可细化到集合级别，例如仅允许用户读写特定集合：

use mydatabase
db.createCollection("mycollection")
db.createUser({
  user: "limitedUser",
  pwd: "limited密码",
  roles: [{ role: "readWrite", db: "mydatabase", collection: "mycollection" }]
})

2. IP白名单限制

通过配置文件限制可访问的IP地址：

sudo nano /etc/mongod.conf
# 添加以下内容（允许多个IP，用逗号分隔）
net:
  bindIp: 127.0.0.1,192.168.1.100

重启服务生效。

四、安全最佳实践

1. 定期更新MongoDB
   通过APT更新到最新版本，修复安全漏洞：

   sudo apt update && sudo apt upgrade mongodb-org
   

2. 启用SSL/TLS加密
   在/etc/mongod.conf中配置SSL证书，保护数据传输安全。
3. 审计日志记录
   启用审计功能跟踪用户操作（需MongoDB企业版支持）。

五、常用命令总结

通过以上步骤，可在Debian系统上实现MongoDB的精细化权限管理，确保数据安全。