mongodb 用户权限控制

Posted 2021-01-24 斩乱凡尘

mongo身份验证和权限管理

身份认证：

MongoDB安装完成后，默认是没有权限验证的，默认是不需要输入用户名密码即可登录的，但是往往数据库方面我们会出于安全性的考虑而设置用户名密码。
即任何客户端都可以使用mongo IP:27017/admin命令登录mongo服务
启用访问控制前，请确保在 admin 数据库中拥有 userAdmin 或 userAdminAnyDatabase 角色的用户。
该用户可以管理用户和角色，例如：创建用户，授予或撤销用户角色，以及创建或修改定义角色。
启用验证的方式：
1. /etc/mongodb.conf //将auth=true前面的注释拿掉，然后重启服务生效。
2.线上生产环境使用的是docker:
a. 需要在config和shard服务的启动命令中加上“--auth”参数。
b. 需要在宿主机生成一个keyfile文件：openssl rand -base64 755 > mongo.key，
分别放在mongos、config和shard目录中，并修改目录权限：chown -R 999:999 mongos 和keyfile权限：chmod 600 mongos/mongo.key
c. 在config和shard和mongos服务启动命令中添加“--keyFile /data/db/mongo.key”参数。

用户权限：

一，掌握权限，理解下面4条基本上就差不多

1. mongodb是没有默认管理员账号，所以要先添加管理员账号，在开启权限认证。
2. 切换到admin数据库，添加的账号才是管理员账号。
3. 用户只能在用户所在数据库登录，包括管理员账号。
4. mongo的用户是以数据库为单位来建立的，每个数据库有自己的管理员。
5. 管理员可以管理所有数据库，但是不能直接管理其他数据库，要先在admin数据库认证后才可以。
注：帐号是跟着库走的，所以在指定库里授权，必须也在指定库里验证

权限说明

权限说明

Icon

Built-In Roles（内置角色）：
1. 数据库用户角色：read、readWrite; 
2. 数据库管理角色：dbAdmin、dbOwner、userAdmin；
3. 集群管理角色：clusterAdmin、clusterManager、clusterMonitor、hostManager； 
4. 备份恢复角色：backup、restore； 
5. 所有数据库角色：readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase 
6. 超级用户角色：root 
// 这里还有几个角色间接或直接提供了系统超级用户的访问（dbOwner 、userAdmin、userAdminAnyDatabase）

权限具体说明

具体说明

Icon

Read：允许用户读取指定数据库
readWrite：允许用户读写指定数据库
dbAdmin：允许用户在指定数据库中执行管理函数，如索引创建、删除，查看统计或访问system.profile
userAdmin：允许用户向system.users集合写入，可以找指定数据库里创建、删除和管理用户
clusterAdmin：只在admin数据库中可用，赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的读权限
readWriteAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的读写权限
userAdminAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的dbAdmin权限。
root：只在admin数据库中可用。超级账号，超级权限

自定义权限

 

Icon

mongo的权限除了系统默认的几个值，还可以自定义相应的权限给一个Role

db.createRole({ role: “testRole”, privileges: [{ resource: { db: “”, collection: “” }, actions: [“enableSharding” ] }], roles: [“readWriteAnyDatabase”] })

db.createUser( { user: “testuser”, pwd: “123456”, roles: [ { role: “testRole”, db: “admin” } ] } )

 

分片集群

Icon

群集用户和分片用户是独立的。
通常，要为分片群集创建用户，请连接到 mongos并添加分片群集用户。
但是，某些维护操作需要直接连接到分片群集中的特定分片。要执行这些操作，必须直接连接到分片并作为分片本地管理用户进行身份验证。
分片本地用户仅存在于特定分片中，并且只应用于特定于分片的维护和配置。您无法连接到mongos分享本地用户。

 

创建分片用户命令

db.getSiblingDB("admin").createUser(
{
"user" : "testadmin",
"pwd" : "12345678",
roles: [ { "role" : "clusterAdmin", "db" : "admin" },{ role: "userAdminAnyDatabase", db: "admin" } ]
}
)

增加用户：

1.创建 admin

角色：userAdminAnyDatabase （这是一个账号管理员的角色）
admin用户用于管理账号，不能进行关闭数据库等操作，目标数据库是admin

admin

Icon

> use admin
> db.createUser({user: "admin",pwd: "123456",roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]})
另一种格式：
> db.createUser(
{
user: "dba",
pwd: "dba",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)

user：用户名
pwd：密码
roles：指定用户的角色，可以用一个空数组给新用户设定空角色；在roles字段,可以指定内置角色和用户定义的角色。

2.创建root
创建完admin管理员，创建一个超级管理员 root 角色：root
root角色用于 关闭数据库 db.shutdownServer()

root

Icon

> use admin
> db.createUser({user: "root",pwd: "123456",roles: [ { role: "root", db: "admin" } ]})

3.创建用户自己的数据库的角色
当账号管理员和超级管理员，可以为自己的数据库创建用户了
（坑）这时候一定，一定要切换到所在数据库上去创建用户，不然创建的用户还是属于admin。

putong

Icon

> use position
> db.createUser({user: "position",pwd: "123456",roles: [ { role: "dbOwner", db: "position" } ]})

查看用户：

查看全局所有账户 :

Icon

> use admin
switched to db admin
> db.auth(‘admin‘,‘123456‘) //验证用户，相当于登录
1
> db.system.users.find().pretty() 或者使用 > db.system.users.find()

查看当前库下的账户 :

Icon

> use admins
switched to db admin
> show users

删除用户：

根据id删除用户：

Icon

> db.system.users.remove({_id:"XXX.XXX"})

根据用户名删除用户：

Icon

> db.system.users.remove({user:"XXXXXX"})

修改用户：

注：对于分片集群，用户的更改将在命令运行的 mongos 上即时生效。但是，对于群集中的其他mongos 实例，用户缓存可能会等待10分钟才能刷新。
1. 撤销角色使用db.revokeRolesFromUser()方法撤销角色。以下示例操作从account数据库上删除用户reportsUser 的 readWrite 角色：use reporting

Icon

db.revokeRolesFromUser(
"reportsUser",
[
{ role: "readWrite", db: "accounts" }
]
)

2. 授予角色使用db.grantRolesToUser()方法授予角色。 例如，以下操作授予reportsUser用户account数据库上的读取角色：use reporting

Icon

db.grantRolesToUser(
"reportsUser",
[
{ role: "read", db: "accounts" }
]
)

3. 更改密码：
将用户的用户名和新密码传递给db.changeUserPassword()方法。
以下操作将reporting用户的密码更改为：SOh3TbYhxuLiW8ypJPxmt1oOfL

Icon

> db.changeUserPassword("reporting", "SOh3TbYhxuLiW8ypJPxmt1oOfL")

=============================================================================================
登陆命令
mongo -u dba -p dba --authenticationDatabase "admin"
mongo -host 192.168.3.17 --port 27017 -u dba -p dba --authenticationDatabase "admin"
mongo 192.168.3.17:27017/admin
db.auth("dba","dba") //此为在库内验证登录命令

MongoDB常用命令
> show dbs #显示数据库列表 
> show collections #显示当前数据库中的集合（类似关系数据库中的表）
> show users #显示用户
> use <db name> #切换当前数据库，如果数据库不存在则创建数据库。 
> db.help() #显示数据库操作命令，里面有很多的命令 
> db.foo.help() #显示集合操作命令，同样有很多的命令，foo指的是当前数据库下，一个叫foo的集合，并非真正意义上的命令 
> db.foo.find() #对于当前数据库中的foo集合进行数据查找（由于没有条件，会列出所有数据） 
> db.foo.find( { a : 1 } ) #对于当前数据库中的foo集合进行查找，条件是数据中有一个属性叫a，且a的值为1

MongoDB没有创建数据库的命令，但有类似的命令。 如：如果你想创建一个“myTest”的数据库，先运行use 
myTest命令，之后就做一些操作（如：db.createCollection(‘user’)）,这样就可以创建一个名叫“myTest”的数据库。

其他命令
> db.dropDatabase() #删除当前使用数据库
> db.cloneDatabase("127.0.0.1") #将指定机器上的数据库的数据克隆到当前数据库
> db.copyDatabase("mydb", "temp", "127.0.0.1") #将本机的mydb的数据复制到temp数据库中
> db.repairDatabase() #修复当前数据库
> db.getName() #查看当前使用的数据库，也可以直接用db
> db.stats() #显示当前db状态
> db.version() #当前db版本
> db.getMongo() ＃查看当前db的链接机器地址
> db.serverStatus() #查看数据库服务器的状态

查看分片结果：
db.printShardingStatus()

测试：向test数据库的user表中添加10w条数据：
use test
for(var i=0;i<100000;i++){
db.user.insert({"name":"test"+i,"age":i});
}