您好,登录后才能下订单哦!
对于一个完善的数据库系统,必然是需要权限控制,当然mongodb也不例外.没有认证的数据库已经被证明是******的一个突破口,所以我们无论是出于什么原因,数据库认证对于一个生产系统而言,至关重要.
在MongoDB 3.0 以后,用户登录的密码认证机制有:SCRAM-SHA-1(默认,基于加盐的应答式认证),MONGODB-CR(普通应答式认证,3.6废弃,4.0删除),x.509 Certificate(基于证书的SSL/TLS加密认证),LDAP Proxy(基于LDAP系统的鉴权认证,仅企业版支持),Kerberos(基于Kerberos鉴权,仅企业版支持),一般而言,默认的就已经很不错了.
然后mongodb还有一个内部鉴权策略,主要是防止数据被拦截,有:keyfile(基于SCRAM的应答式认证),x.509 Certificate(基于证书的SSL/TLS加密),对于内部来说,如非特殊情况,使用keyfile就足够了.
对单台数据库增加mongodb认证信息(基本认证知识)
首先要讲一讲的是,mongodb本身并没有要求一定要认证登录,也就是免认证直接登录是允许的,不过出于安全考虑的话,我们应该更加严谨一些,增加认证登录来使用,但是mongodb又不同于mysql和oracle的授权方式,比较奇怪.下面来看.
首先,也是要打开参数
#打开配置文件 vim /usr/local/mongodb/mongod_data_40001.conf . . . #是否开启认证模式,现在开启来使用 auth = true #关闭认证模式,和上面的冲突,之前是开启的,现在关闭了 #noauth = true #指定集群认证文件,没开认证就不用指定,注释关闭即可,需要用openssl来生成,暂时不研究 #keyFile = /data/mongodb/data/keyfile #指定访问地址,3.4之前默认全网,之后则默认是127.0.0.1,但是在3.6之后必须制定这个参数才能启动.配置0.0.0.0代表全网匹配 #bind_ip=0.0.0.0
参数打开了,需要重启一下登录
#登录进去操作 mongo -port=40001 MongoDB shell version v3.4.16-rc0 connecting to: mongodb://127.0.0.1:40001/ MongoDB server version: 3.4.16-rc0 #操作一下 > show dbs 2018-07-17×××5:04:34.009+0800 E QUERY [thread1] Error: listDatabases failed:{ "ok" : 0, "errmsg" : "not authorized on admin to execute command { listDatabases: 1.0 }", "code" : 13, "codeName" : "Unauthorized" } : _getErrorWithCode@src/mongo/shell/utils.js:25:13 Mongo.prototype.getDBs@src/mongo/shell/mongo.js:62:1 shellHelper.show@src/mongo/shell/utils.js:788:19 shellHelper@src/mongo/shell/utils.js:678:15 @(shellhelp2):1:1 >
好像报错了,但是请淡定,这是正常现象,因为之前默认是免认证,现在开启了认证,你又没创建用户,那肯定是报错的,不过不用担心,因为你原本是没用户密码的,所以是可以新建的.
但是要注意,在初始无账户密码状态下,只能通过登录127.0.0.1这个地址你才能创建用户和密码,所以就需要注意参数bind_ip的值了.
#进入admin数据库,也是当前用户认证库 > use admin switched to db admin #授权 > db.createUser({user:"adminuser",pwd:"admin123",roles:[{role:"userAdminAnyDatabase",db:"admin"}]}) Successfully added user: { "user" : "adminuser", "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] } #再创建多一个试试 > db.createUser({user:"root",pwd:"root123",roles:[{role:"root",db:"admin"}]}) 2018-07-17×××5:05:04.167+0800 E QUERY [thread1] Error: couldn't add user: not authorized on admin to execute command { createUser: "root", pwd: "xxx", roles: [ { role: "root", db: "admin" } ], digestPassword: false, writeConcern: { w: "majority", wtimeout: 600000.0 } } : _getErrorWithCode@src/mongo/shell/utils.js:25:13 DB.prototype.createUser@src/mongo/shell/db.js:1292:15 @(shell):1:1 >
又报错了?没错,这个时候你已经有用户了,所以就拒绝你的操作了,你要先认证一下你自己刚建好的用户了
#认证一下你刚才创建的用户 > db.auth("adminuser","admin123") 1 > use admin switched to db admin #再次创建用户 > db.createUser({user:"root",pwd:"root123",roles:[{role:"root",db:"admin"}]}) Successfully added user: { "user" : "root", "roles" : [ { "role" : "root", "db" : "admin" } ] } > db.auth("root","root123") 1 > show dbs admin 0.000GB local 0.000GB >
这次没问题了,解决了问题,要想创建更多用户,甚至细化到个别数据库来创建用户,你可以这样:
use foo; db.createUser({user: 'foo', pwd: 'bar', roles: [{role: 'readWrite', db: 'foo'}]}) db.auth('foo', 'bar')
这里就涉及一个mongodb特别的知识点---认证库的概念.
mongodb和别的数据库不同,认证的信息是细化到库的,而并不是像mysql,oracle,sql server那样集中管理,都存放到一个user表.
不同数据库的用户可以存放到不同的数据库,例如:foo库的用户foo只存放在foo库里面,他不能登录admin库,在admin库里面是没有foo用户信息.同理,admin库的用户root是不存在于foo库的,但是root用户是能登陆foo的,原因是root用户的权限更大一些(废话).但是,你如果把foo库删除了,那么foo用户也会"顺便"被一起删除了,也就是这个用户和这个库也彻底不再了.
所以我们有两种不同的理念,基于方便管理的概念来说,我们应该集中管理,对于认证库这个概念,我们的思路应该把它们都建立在admin库更佳,然后再细分权限,删除库有时候可以只是删除登录用户就可以了.基于安全考虑问题,我们不能让一些废弃用户存在,因为mongodb的特性是没有create动作,只要有权限,就可以自动创建库和表的.
然后还有第二个mongodb的知识点---角色权限管理
mongodb创建的用户是按role角色来区分权限的,跟我们熟悉的oracle和sql server相似(mysql8.0后才支持角色管理),这点倒不是特别了.至于有什么role选择呢,你可以show roles看看.我们主要常用的有全局超级管理员userAdminAnyDatabase(也是我们第一个需要创建的用户权限),readWriteAnyDatabase,readWrite,readAnyDatabase,read,root等.
每一个角色代表着有不同的权限集合,可以细化到每个用户的权限范围,例如read就只能find查询,readWrite就是典型的增删查改了,还有我们熟悉的root就是完全控制权限了.
mongos> show roles { "role" : "__system", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] } { "role" : "backup", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] } { . . . } { "role" : "read", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] } { "role" : "readAnyDatabase", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] } { "role" : "readWrite", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] } { "role" : "readWriteAnyDatabase", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] } { "role" : "restore", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] } { "role" : "root", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] } { "role" : "userAdmin", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] } { "role" : "userAdminAnyDatabase", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ] }
这里就不详细解析了,大多数和字面意思差不多,非常赞.
既然创建完成了,我们尝试下带用户名的登陆方式:
[root@localhost ~]# mongo 10.21.14.16:40001/admin -u root -p "root123" MongoDB shell version v3.4.16-rc0 connecting to: mongodb://10.21.14.16:40001/admin MongoDB server version: 3.4.16-rc0 > show dbs admin 0.000GB local 0.000GB >
可以正常使用了.
当然了,用户就必须是可以修改和删除信息的,这里不详细讲,附上命令参考
#假设我们新建了一个用户ttt,这里就不解析了 >use admin >db.createUser({user:"ttt",pwd:"123",roles:[{role:"root",db:"admin"}]}) >db.auth("ttt","123") #查看现在所有的用户信息,也就多了个ttt了. > db.system.users.find() { "_id" : "admin.adminuser", "user" : "adminuser", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "jLubKc6ODHMxCnjFeeJuog==", "storedKey" : "l1cL39bnvkw2fecw1DHdKM0TM7s=", "serverKey" : "ZD+EZymr8OhlwMZ/0h35Qn8QHE4=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] } { "_id" : "admin.root", "user" : "root", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "Fx2BRB2ZIJeD2X+bvM0ZIg==", "storedKey" : "Yyo+vcxhv40vNXZwUNfnBTz×××30=", "serverKey" : "th4UbT+/aJcgOXvKx4TFDhX242k=" } }, "roles" : [ { "role" : "root", "db" : "admin" } ] } { "_id" : "admin.ttt", "user" : "ttt", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "X58qg8jiiM3ju8v8Cywu8A==", "storedKey" : "MO4lwHhFUn50Ja0/QCHeN4hObRQ=", "serverKey" : "N9iUXgshDP9beTD8pNKfrmtl0V0=" } }, "roles" : [ { "role" : "root", "db" : "admin" } ] } #另一个命令也能看到 > db.getUsers() [ { "_id" : "admin.adminuser", "user" : "adminuser", "db" : "admin", "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }, { "_id" : "admin.root", "user" : "root", "db" : "admin", "roles" : [ { "role" : "root", "db" : "admin" } ] }, { "_id" : "admin.ttt", "user" : "ttt", "db" : "admin", "roles" : [ { "role" : "root", "db" : "admin" } ] } ] #再看看新建的那个用户 > db.getUser("ttt") { "_id" : "admin.ttt", "user" : "ttt", "db" : "admin", "roles" : [ { "role" : "root", "db" : "admin" } ] } #我们修改用户的所有信息,都可以通过下面这条命令实现, #db.updateUser("UESR",{修改信息}) #现在我们需要修改的是密码 > db.updateUser("ttt",{pwd:"789"}) #修改完成,旧密码登录就会报错 > db.auth("ttt","123") Error: Authentication failed. 0 #新密码就没事了 > db.auth("ttt","789") 1 #不过,修改密码的方式并不是只有一种,下面这种也行 > db.changeUserPassword("ttt","456") #同理,旧密码登录就会报错了 > db.auth("ttt","123") Error: Authentication failed. 0 #新密码就没事了 > db.auth("ttt","456") 1 #删除用户就很简单了 > db.dropUser("ttt") true #现在你还想登录,当然是不行的 > db.getUser("ttt") 2018-07-18T09:38:38.504+0800 E QUERY [thread1] Error: not authorized on admin to execute command { usersInfo: "ttt" } : _getErrorWithCode@src/mongo/shell/utils.js:25:13 DB.prototype.getUser@src/mongo/shell/db.js:1518:1 @(shell):1:1 #登录到其他用户就行了 > db.auth("root","root123") 1 > db.dropUser("ttt") false > db.getUser("ttt") null > db.getUsers() [ { "_id" : "admin.adminuser", "user" : "adminuser", "db" : "admin", "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }, { "_id" : "admin.root", "user" : "root", "db" : "admin", "roles" : [ { "role" : "root", "db" : "admin" } ] } ] >
关于单台服务器的认证方式就说到这里了.
对集群数据库增加mongodb认证信息
正如我之前说的,使用mongodb,大部分人不会只用单台,因为这就是源生的分布式数据库.而使用集群的认证,比起单台,则需要增加一个keyfile,当然你也能用另一种,这里不展开讲太多.
我这里前置条件说明一下,这个时候集群是已经搭建好了,但是集群内的用户还没有创建起来,因为你没有创建keyfile也是走不起来.
首先,要在所有节点配置都打开keyfile,并配上路径,并确保mongodb有这个文件的权限,无论你是分片集群,还是单纯副本集,在mongos端,config端,share端,都要一起启用,要不然没有配置的就会报权限错误,如果是副本集而又授权了,你还需要重新做一遍才行.
#打开配置文件 vim /usr/local/mongodb/mongod_data_40001.conf . . . #是否开启认证模式,现在开启来使用 auth = true #关闭认证模式,和上面的冲突,之前是开启的,现在关闭了 #noauth = true #指定集群认证文件,没开认证就不用指定,注释关闭即可,需要用openssl来生成,暂时不研究 keyFile = /data/mongodb/data/keyfile #指定访问地址,3.4之前默认全网,之后则默认是127.0.0.1,但是在3.6之后必须制定这个参数才能启动.配置0.0.0.0代表全网匹配 #bind_ip=0.0.0.0
改完之后,没启动就先不要急着启动,而已经启动了的,也不要急着重启,稍等再重启.
然后,我们要生成这个keyfile文件
#用openssl命令生成一个64位的秘钥文件 openssl rand -base64 64 > keyfile #把它权限设成600,不然就报错权限过高的错误 chmod 600 keyfile #把他移到目的目录 mv keyfile /data/mongodb/data/ #记得把权限搞一搞 chown mongodb:mongodb /data/mongodb/data/keyfile
有些人好奇,为什么是64位的秘钥文件?没错,真的可以更多,或者更少,例如:
openssl rand -base64 741 >keyfile openssl rand -base64 16 >keyfile
这些都可以用,但是,要考虑系统性能问题和数据安全的问题.秘钥文件越复杂,那么你内部系统的加密与解密就需要更耗费资源,尤其在高并发环境,可以讲比较悲催.但是太简单,那么你的数据被破解的几率就更高,安全性就谈不上了.我这里只是折衷,所以是64,各位有兴趣可以根据实际情况来设置.
再然后,重新启动各节点,或者说你没启动的话,就现在启动了,按以下顺序重启所有服务
config副本集:先主库,再从库,让他慢慢切换.
router服务:随便重启.
shard副本集:先主库,再从库,让他慢慢切换.
最后,就开始创建用户授权了,就和上面一样操作就可以了
#如果我们没有做好副本集或集群,那就还需要先做,详细解析我就不做了. > config = {_id:"sljd_shard1",members:[{_id:0, host:"172.25.40.80:40001" },{_id:1, host:"172.25.40.81:40001" },{_id:2, host:"172.25.40.82:40001" }]} > rs.initiate(config) > rs.status() #然后进入admin数据库,也是当前用户认证库 shard1:PRIMARY> use admin switched to db admin #授权 shard1:PRIMARY> db.createUser({user:"root",pwd:"admin123",roles:[{role:"userAdminAnyDatabase",db:"admin"}]}) Successfully added user: { "user" : "adminuser", "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] } #然后登陆 shard1:PRIMARY> db.auth("root","admin123") #或者 mongo 172.25.40.80:40001/admin -u root -p "admin123"
然后,我们看到用户了
#登陆上主库,注意认证库 mongo 172.25.40.80:40001/admin -u root -p "admin123" #在主库上查看一下用户情况 shard1:PRIMARY> db.getUsers() [ { "_id" : "admin.root", "user" : "root", "db" : "admin", "roles" : [ { "role" : "root", "db" : "admin" } ] } ] #登陆上从库.注意认证库 mongo 172.25.40.81:40001/admin -u root -p "admin123" #要多做一步,允许在从库执行查询,不然会报错,因为从库默认是只读的 shard1:SECONDARY> rs.slaveOk() #再在从库执行一下 shard1:SECONDARY> db.getUsers() [ { "_id" : "admin.root", "user" : "root", "db" : "admin", "roles" : [ { "role" : "root", "db" : "admin" } ] } ]
好了,那就没问题了.
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。