MongoDBの3.6認証IPの制限
序文
さて、このタイトルを読んで、あなたは潜在意識を持っている場合、私は知らない、がある場合は、はい、それはこれです、と MongoDBは最終的に私はセキュリティデータベースのより重要なAモジュールで考える開かれました- - IPホワイトリスト。
我々はすべて知っているように、 MySQLのは、Oracle、SqlServerの他のよく知られたデータベースは、すべてのセキュリティの面でかなりの保護を行っています。
IPホワイトリスト
ライブラリー、時計の区別のためのパーミッション
別の追加や削除、取引のための条件を変更して再検索 ADMINおよびその他の権利の割り当て
でも、 Oracleはまた、異なる権限の組み合わせで論理的な役割を提供し、この点でのMySQLも調整を対応しました。
しかし、ルックバック最も簡単なユーザ名+パスワードのやり方は非常に始まり、そしてBultの-での役割、カスタムロールの概念の導入後からMongoDBは、特権およびその他の立ち上げ、その後、今後の3.6で、 bind_ipのクリア調整はなったローカルホストによっても影響され、ビットコインケース、それに影響を与えます。
今回、 3.6は、authenticationRestrictionsへの新規参入、解決するために使用されたホワイトリスト欠陥IPを。
それでは、この機能は、それを達成するためにどのように私には非常に魅力的で、私たちは見てみましょう。
理由物事を
何より、見とる MongoDBの公式文書に。https://docs.mongodb.com/master/reference/method/db.createUser/#authentication-restrictions
フィールド名 |
値 |
説明 |
ClientSource |
IPアドレスおよび/またはCIDR範囲の配列 |
存在する場合、ユーザーを認証する、サーバ検証クライアントのIPアドレスが与えられたリストであるか、または、リスト内のCIDR範囲に属すること。クライアントのIPアドレスが存在しない場合、サーバーはユーザーを認証しません。 |
サーバーアドレス |
IPアドレスおよび/またはCIDR範囲の配列 |
クライアントが接続できるIPアドレスまたはCIDR範囲のリスト。存在する場合、サーバーは、クライアントの接続が与えられ、リスト内のIPアドレスを経由して受け入れられたことを確認します。接続が認識されていないIPアドレスを経由して受理された場合は、サーバーはユーザーを認証しません。 |
簡単に言えば、 clientSourceは、クライアントのIPホワイトリストコントロールのために行われます。serverAddressでは、サーバー側のためのホワイトリストIP制御を行うことです。
この質問は、クライアントであることに、サーバIP、IPは、より多くのそれが接続されている場所よりも、何の上に、理解しやすいです、そして我々はすべてのことを理解し同意しますか?これは何を意味するのでしょうか?指定されたホストアドレスを介して接続する際にここでIP、サーバーは、次のような、クライアントを指し:モンゴ--host = 192.168.56.101 、その後、 serverAddressにはしなければならない含まれている 192.168.56.101は、ここに含まれているそれは何を意味するのでしょうか?そして、 MySQLは、複数のアドレスを開い達成するためにB、Cセグメントを、指定することができます同じ、唯一のアクセス文言は多少、MySQLは:です。192.168.56 *は、 MongoDBはある:192.168.56.0/24 。あなたがドライブを使用しているのであれば、その後、同じホストパラメータにIPを対応する指定。
それでは、私たちは1を操作する必要があります。
事実を提示
アプリケーションアカウントの奇跡を作成して1
使用管理
db.createUser(
{
ユーザー:「ルート」、
PWD: "ルート"、
ロール:[{役割: 'ルート'、DB: '管理者'}]
}
)
db.createUser(
{
ユーザー:「奇跡」、
PWD: "若いです"、
ロール:[{役割: 'READWRITE'、DB '若いです'}]、
authenticationRestrictions:[{
clientSource:[ "192.168.31.246"]、
serverAddressに:[ "192.168.31.246"]
}]
}
)
2.データベースを再起動します、証明機関を開きます
奇跡のデータベースを入力し、確認します。3.
4.形式のデータベース再接続の要件を満たします
5.間違った理由の4番目の手順では、デフォルト3.6 = localhostを開くbind_ipためである、と始まるが問題を無視するので、私は長い時間を投げます。データベースに加えて再起動します --bind_ip_allを
6.再接続
概要
この時点では、ホワイトリスト機能のMongoDBのIPは本当に良いのメンテナンスの皆様より安全な制御に役立つ開発者の許可を期待して、検証されます。
上海ぽっちゃり [MiracleYoung]オリジナル住所:https://segmentfault.com/u/shanghaixiaopang/articles