在开启MongoDB 服务时不添加任何参数时,可以对数据库任意操作,而且可以远程访问数据库。
如果启动的时候指定—auth参数,可以对数据库进行用户验证
在freebsd 系统中 mongodb 增加认证的选项有两种办法
方法一
直接修改启动脚本在 /usr/local/etc/rc.d/mongod,修改一下启动参数 后面增加一个 --auth
command_args="-f $mongod_config --dbpath $mongod_dbpath --logappend --logpath $mongod_dbpath/mongod.log --fork --auth"
方法二
修改配置文件 /usr/local/etc/mongodb.conf
auth=true
以上两种方法都可以。
$ ./mongod --auth >> mongodb.log & 开启 ./mongo MongoDB shell version: 1.8.1 connecting to: test >show dbs admin (empty) local (empty)
添加用户
在刚安装完毕的时候MongoDB都默认有一个admin数据库,而admin.system.users中将会保存比在其它数据库中设置的用户权限更大的用户信息。
当admin.system.users中一个用户都没有时,即使mongod启动时添加了--auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作,直到在admin.system.users中添加了一个用户。
下面创建数据库tage,并给tage创建用户:
> use tage
switched to db tage
> db.addUser("tage","123")
{
"user" : "tage",
"readOnly" : false,
"pwd" : "1f66d5c4223029536080d41febe0ec33"
}
在admin库中创建root用户
> use admin
switched to db admin
> db.addUser("root","123456")
{
"user" : "root",
"readOnly" : false,
"pwd" : "34e5772aa66b703a319641d42a47d696"
}
如果系统已经起用了权限认证,需要给其他数据库新增或者修改登录用户的时候,需要先连接到admin库
mongo admin -uroot -p123456
然后选择需要增加用户的库,比如 foo
use foo
db.addUser("newusername","new password")
验证用户
> db.auth("root","123")
0 密码错误,返回0,验证失败
> db.auth("root","123456")
1 验证成功,返回1
下面试验用户权限设置:
$ ./mongo 登录时不加用户名与密码
MongoDB shell version: 1.8.1
connecting to: test
> use tage
switched to db tage
> db.system.users.find()
error: {
"$err" : "unauthorized db:tage lock type:-1 client:127.0.0.1",
"code" : 10057
}
以上验证说明,登录时不指定用户名与密码,就会报错。下面指定用户与密码
$ ./mongo -uroot -p123456 指定用户与密码,但是不指定库名 MongoDB shell version: 1.8.1 connecting to: test Wed Aug 3 21:30:42 uncaught exception: login failed exception: login failed
mongodb登录时默认连接test库,如果登录时不指定库名,就会报错
下面以tage库的用户名登录进行验证
$ ./mongo tage -utage -p123
MongoDB shell version: 1.8.1
connecting to: tage
> db.system.users.find() 对所属自己的库进行操作,有权限
{ "_id" : ObjectId("4e394c696b50a56254359088"), "user" : "tage", "readOnly" : false, "pwd" : "1f66d5c4223029536080d41febe0ec33" }
> use admin
switched to db admin
> db.system.users.find() 对其他库操作,没有权限
error: {
"$err" : "unauthorized db:admin lock type:-1 client:127.0.0.1",
"code" : 10057
}
下面以admin库下的root用户登录进行验证
./mongo admin -uroot -p123456
MongoDB shell version: 1.8.1
connecting to: admin
> db.system.users.find()
{ "_id" : ObjectId("4e394caf6b50a56254359089"), "user" : "root", "readOnly" : false, "pwd" : "34e5772aa66b703a319641d42a47d696" }
> use tage
switched to db tage
> db.system.users.find() 对其他库进行操作,有权限
{ "_id" : ObjectId("4e394c696b50a56254359088"), "user" : "tage", "readOnly" : false, "pwd" : "1f66d5c4223029536080d41febe0ec33" }
mongodb的远程用户连接
语法结构:mongo –uusername –ppwd ServerIP:port/dbname
其中port默认为27017
$ ./mongo -uroot -p123456 192.168.2.150/admin
MongoDB shell version: 1.8.1
connecting to: 192.168.2.150/admin
> db.system.users.find()
{ "_id" : ObjectId("4e394caf6b50a56254359089"), "user" : "root", "readOnly" : false, "pwd" : "34e5772aa66b703a319641d42a47d696" }
删除/修改用户
不管是添加用户,修改用户密码,修改用户操作权限都使用addUser()来完成。删除用户可以用remove()来实现。
> db.system.users.find({"user":"cyz001"})
更多的安全考虑
写道
刚说了MongoDB的安全认证其实还是简陋的,所以我们还是有其他很多的安全考虑。
*1.比如说MongoDB传输协议是不加密的,如果需要加密的话,我们可以考虑使用ssh隧道或是他们的技术来对客户端和服务端之间的通讯进行加密。
*2.将MongoDB部署在只有客户端服务器才能访问到的环境,比如内网,vpn网络中,可以使用 bind_ip = 本机或内网。
*3.如果确实需要将MongoDB暴露在外部环境可以考虑使用IPTABLES等技术进行访问限制。
*1.比如说MongoDB传输协议是不加密的,如果需要加密的话,我们可以考虑使用ssh隧道或是他们的技术来对客户端和服务端之间的通讯进行加密。
*2.将MongoDB部署在只有客户端服务器才能访问到的环境,比如内网,vpn网络中,可以使用 bind_ip = 本机或内网。
*3.如果确实需要将MongoDB暴露在外部环境可以考虑使用IPTABLES等技术进行访问限制。
参考:
http://qing.weibo.com/1838939461/6d9bfd45330002nc.html