[原创] MongoDB管理与开发精要《红丸出品》13 访问控制
http://blog.chinaunix.net/attachment/201205/26/26785103_1338009683Kvjx.jpg第十三章 访问控制官方手册中启动 MongoDB 服务时没有任何参数,一旦客户端连接后可以对数据库任意操作,而且可以远程访问数据库,所以推荐开发阶段可以不设置任何参数,但对于生产环境还是要仔细考虑一下安全方面的因素,而提高 MongoDB 数据库安全有几个方面:l绑定IP内网地址访问MongoDB服务l设置监听端口l使用用户名和口令登录13.1 绑定IP内网地址访问MongoDB服务MongoDB可以限制只允许某一特定IP来访问,只要在启动时加一个参数bind_ip即可,如下:服务端限制只有192.168.1.103这个IP可以访问MongoDB服务
# ./mongod --bind_ip 192.168.1.103
客户端访问时需要明确指定服务端的IP,否则会报错:
# ./mongo 192.168.1.102MongoDB shell version: 1.8.1connecting to: 192.168.1.103/test>
13.2 设置监听端口官方默认的监听端口是27017,为了安全起见,一般都会修改这个监听端口,避免恶意的连接尝试,具体如下:将服务端监听端口修改为28018
# ./mongod --bind_ip 192.168.1.103 --port 28018
端户访问时不指定端口,会连接到默认端口27017,对于本例会报错
# ./mongo 192.168.1.102MongoDB shell version: 1.8.1connecting to: 192.168.1.102/testSun Apr 15 15:55:51 Error: couldn't connect to server 192.168.1.102 shell/mongo.js:81exception: connect failed
所以当服务端指定了端口后,客户端必须要明确指定端口才可以正常访问
# ./mongo 192.168.1.102:28018MongoDB shell version: 1.8.1connecting to: 192.168.1.102:28018/test>
13.3 使用用户名和口令登录MongoDB默认的启动是不验证用户名和密码的,启动MongoDB后,可以直接用MongoDB连接上来,对所有的库具有root权限。所以启动的时候指定参数,可以阻止客户端的访问和连接。
先启用系统的登录验证模块, 只需在启动时指定 auth 参数即可,如:
# ./mongod --auth
本地客户端连接一下看看效果;
# ./mongoMongoDB shell version: 1.8.1connecting to: test> show collections;>
很奇怪,为什么我们启用了登录验证模块,但我们登录时没有指定用户,为什么还可以登录呢?在最初始的时候 MongoDB 都默认有一个 admin 数据库(默认是空的),而 admin.system.users 中将会保存比在其它数据库中设置的用户权限更大的用户信息。注意:当 admin.system.users 中没有添加任何用户时,即使 MongoDB 启动时添加了 --auth 参数,如果在除 admin 数据库中添加了用户,此时不进行任何认证依然可以使用任何操作,直到知道你在 admin.system.users 中添加了一个用户。
1、建立系统root用户在admin库中新添一个用户root:
# ./mongoMongoDB shell version: 1.8.1connecting to: test> db.addUser("root","111"){ "user" : "root", "readOnly" : false, "pwd" : "e54950178e2fa777b1d174e9b106b6ab"}> db.auth("root","111")1>
本地客户端连接,但不指定用户,结果如下:
# ./mongoMongoDB shell version: 1.8.1connecting to: test> show collections;Sun Apr 15 16:36:52 uncaught exception: error: { "$err" : "unauthorized db:test lock type:-1 client:127.0.0.1", "code" : 10057}>
连上test库了,但进一步操作时有异常,看来MongoDB允许未授权连接,不能进行任何
本地客户端连接,指定用户,结果如下:
# ./mongo -u root -pMongoDB shell version: 1.8.1Enter password:connecting to: test> show collections;system.indexessystem.users>
看来指定了用户名之后,访问数据库才是正常
2、建立指定权限用户MongoDB也支持为某个特定的数据库来设置用户,如我们为test库设一个只读的用户user_reader:
# ./mongo -u root -pMongoDB shell version: 1.8.1Enter password:connecting to: test> show collections;system.indexessystem.users> use testswitched to db test> db.addUser("user_reader", "user_pwd", true){ "user" : "user_reader", "readOnly" : true, "pwd" : "0809760bb61ee027199e513c5ecdedc6"}>
客户端用此用户来访问:
# ./mongo -u user_reader -pMongoDB shell version: 1.8.1Enter password:connecting to: test> show collections;system.indexessystem.users>
CD大学生DBA训练营(ChinaDBA.net)创始人
《MongoDB管理与开发精要》、《Redis实战》作者
ChinaUnix.net专家博主
cd红丸 发表于 2012-07-26 21:02 static/image/common/back.gif
第十三章 访问控制
官方手册中启动 MongoDB 服务时没有任何参数,一旦客户端连接后可以对数据库任意操作, ...
感谢兄弟分享:)
发完后,是否有一个整体的目录帖子呢?
会有的,一定会
页:
[1]