MongoDB 基础(六)安全性(权限操作)
和其他所有数据库一样,权限的管理都差不多一样。mongodb存储所有的用户信息在admin 数据库的集合system.users中,保存用户名、密码和数据库信息。mongodb默认不启用授权认证,只要能连接到该服务器,就可连接到mongod。若要启用安全认证,需要更改配置文件参数auth。
以下测试理解
查看数据库:
> show dbs
发现 admin 竟然没有!~
找了好久,找不到相关说明,于是直接创建用户admin
use admindb.createUser({user: "admin",pwd: "admin",roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]}
)
成功创建,再查询admin中的集合,有数据了!
> show collections
system.indexes
system.users
system.version
查看3个集合的信息:
> db.system.users.find();
{ "_id" : "admin.admin", "user" : "admin", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "cFISfpbm04pmIFpqiL340g==", "storedKey" : "WG1DSEEEHUZUBjsjsnEA4RFVY2M=", "serverKey" : "9Lm+IX6l9kfaE/4C25/ghsQpDkE=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }
>
> db.system.indexes.find();
{ "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.version" }
{ "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.users" }
{ "v" : 1, "unique" : true, "key" : { "user" : 1, "db" : 1 }, "name" : "user_1_db_1", "ns" : "admin.system.users" }
>
> db.system.version.find();
{ "_id" : "authSchema", "currentVersion" : 5 }
>
现在启用 auth:
[root@localhost ~]# vi /etc/mongod.conf
auth=true
重启 mongod 服务:
[root@localhost ~]# service mongod restart
直接默认登录,查看集合,发现无权操作了:
[root@localhost ~]# mongo
[root@localhost ~]# mongo
MongoDB shell version: 3.0.2
connecting to: test
> show dbs
2015-05-09T21:57:03.176-0700 E QUERY Error: listDatabases failed:{"ok" : 0,"errmsg" : "not authorized on admin to execute command { listDatabases: 1.0 }","code" : 13
}at Error (<anonymous>)at Mongo.getDBs (src/mongo/shell/mongo.js:47:15)at shellHelper.show (src/mongo/shell/utils.js:630:33)at shellHelper (src/mongo/shell/utils.js:524:36)at (shellhelp2):1:1 at src/mongo/shell/mongo.js:47
>
刚才在数据库 admin 创建了一个账户 admin ,先到数据admin进来连接(其他db则失败):
[root@localhost ~]# mongo
MongoDB shell version: 3.0.2
connecting to: test
>
> db.auth("admin","admin")
Error: 18 Authentication failed.
0
> use mydb
switched to db mydb
> db.auth("admin","admin")
Error: 18 Authentication failed.
0
> use admin
switched to db admin
> db.auth("admin","admin")
1
>
db.auth("admin","admin") 返回值为1,说明登录成功!~db.auth("admin","admin") 记录是不存在的,执行完后这一行在shell中不会记录历史。
所以现在创建另一个用户"myuser"
db.createUser({user: "myuser",pwd: "myuser",roles: [ { role: "readWrite", db: "mydb" } ]}
)
也可以增删角色:
#授予角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])db.grantRolesToUser( "myuser" , [ { role: "dbOwner", db: "mydb" } ])#取消角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])db.revokeRolesFromUser( "myuser" , [ { role: "readWrite", db: "mydb" } ])
因为在admin数据库创建的,只能在 admin 数据库中登录:
> db.auth("myuser","myuser")
Error: 18 Authentication failed.
0
>
> db
mydb
> use admin
switched to db admin
> db.auth("myuser","myuser");
1
>
此时是可以切换到所在的数据库进行相关操作:
> use mydb
switched to db mydb
>
> db.tab.save({"id":999});
WriteResult({ "nInserted" : 1 })
>
> db.tab.find({"id":999});
{ "_id" : ObjectId("554ef5ac1b590330c00c7d02"), "id" : 999 }
>
> show collections
system.indexes
tab
>
在创建用户时可以在其数据库中创建,这样不用每次都进入admin数据库登录后再切换。如在数据库"mydb"创建用户"userkk"。
use admindb.auth("admin","admin")use mydbdb.createUser({user: "userkk",pwd: "userkk",roles: [ { role: "dbOwner", db: "mydb" } ]}
)db.auth("userkk","userkk")
------------------------------------------------------------------------------------------------------------------
华丽分割
------------------------------------------------------------------------------------------------------------------
现在授权测试:
#先访问到admin数据库
use admindb.auth("admin","admin")
#切换到 mydb ,在数据库 mydb 中创建角色
#roles: 创建角色"testRole"在数据库 "mydb" 中
#privileges: 该角色可查看"find"数据库"mydb"的所有集合
#db.dropRole("testRole")
use mydbdb.createRole({ role: "testRole",privileges: [{ resource: { db: "mydb", collection: "" }, actions: [ "find" ] }],roles: []
})
#在admin数据库生成集合system.roles。查看角色。
> use admin
switched to db admin
>
> show collections
system.indexes
system.roles
system.users
system.version
>
> db.system.roles.find();
{ "_id" : "mydb.testRole", "role" : "testRole", "db" : "mydb", "privileges" : [ { "resource" : { "db" : "mydb", "collection" : "" }, "actions" : [ "find" ] } ], "roles" : [ ] }
>
#回到mydb,在数据库mydb中创建用户并授予角色"testRole"
#db.dropUser("userkk")
use mydbdb.createUser({user: "userkk",pwd: "userkk",roles: [ { role: "testRole", db: "mydb" } ]}
)
退出mongodb,重新登录进行操作。发现只能使用find
>exit
[root@localhost ~]# mongo
MongoDB shell version: 3.0.2
connecting to: test
> use mydb
switched to db mydb
>
> db.auth("userkk","userkk")
1
>
> db.tab.find({"id":999})
{ "_id" : ObjectId("554ef5ac1b590330c00c7d02"), "id" : 999 }
>
> db.tab.insert({"id":1000})
WriteResult({"writeError" : {"code" : 13,"errmsg" : "not authorized on mydb to execute command { insert: \"tab\", documents: [ { _id: ObjectId('554f145cdf782b42499d80e5'), id: 1000.0 } ], ordered: true }"}
})
>
给角色 "testRole" 添加3个 “Privileges”权限: "update", "insert", "remove"。再重新操作。
use admindb.auth("admin","admin")use mydb#添加Privileges给角色
db.grantPrivilegesToRole("testRole",[{ resource: { db: "mydb", collection: "" },actions: [ "update", "insert", "remove" ]}
])exit #退出mongodb重新登录use mydbdb.auth("userkk","userkk")#增删数据可以操作了!~
db.tab.insert({"id":1000})
db.tab.find({"id":1000})
db.tab.remove({"id":1000})#此时admin的角色记录为:
> db.system.roles.find();
{ "_id" : "mydb.testRole", "role" : "testRole", "db" : "mydb", "privileges" : [ { "resource" : { "db" : "mydb", "collection" : "" }, "actions" : [ "find", "insert", "remove", "update" ] } ], "roles" : [ ] }
>
#更改角色 roles,把roles值全部更新。同样Privileges也可以更新替换!~
use admindb.auth("admin","admin")use mydbdb.updateRole("testRole",{ roles:[{ role: "readWrite",db: "mydb"}]},{ w:"majority" })db.auth("userkk","userkk")show dbs
关于角色,参考官方文档提取总结如下:
角色分类 |
角色 |
权限及角色 (本文大小写可能有些变化,使用时请参考官方文档) |
Database User Roles |
read |
CollStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections |
readWrite |
CollStats,ConvertToCapped,CreateCollection,DbHash,DbStats, DropCollection,CreateIndex,DropIndex,Emptycapped,Find, Insert,KillCursors,ListIndexes,ListCollections,Remove, RenameCollectionSameDB,update |
|
Database Administration Roles |
dbAdmin |
collStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections, dropCollection 和 createCollection 在 system.profile |
dbOwner |
角色:readWrite, dbAdmin,userAdmin |
|
userAdmin |
ChangeCustomData,ChangePassword,CreateRole,CreateUser, DropRole,DropUser,GrantRole,RevokeRole,ViewRole,viewUser |
|
Cluster Administration Roles |
clusterAdmin |
角色:clusterManager, clusterMonitor, hostManager |
clusterManager |
AddShard,ApplicationMessage,CleanupOrphaned,FlushRouterConfig, ListShards,RemoveShard,ReplSetConfigure,ReplSetGetStatus, ReplSetStateChange,Resync, EnableSharding,MoveChunk,SplitChunk,splitVector |
|
clusterMonitor |
connPoolStats,cursorInfo,getCmdLineOpts,getLog,getParameter, getShardMap,hostInfo,inprog,listDatabases,listShards,netstat, replSetGetStatus,serverStatus,shardingState,top collStats,dbStats,getShardVersion |
|
hostManager |
applicationMessage,closeAllDatabases,connPoolSync,cpuProfiler, diagLogging,flushRouterConfig,fsync,invalidateUserCache,killop, logRotate,resync,setParameter,shutdown,touch,unlock |
|
Backup and Restoration Roles |
backup |
提供在admin数据库mms.backup文档中insert,update权限 列出所有数据库:listDatabases 列出所有集合索引:listIndexes 对以下提供查询操作:find *非系统集合 *系统集合:system.indexes, system.namespaces, system.js *集合:admin.system.users 和 admin.system.roles |
restore |
非系统集合、system.js,admin.system.users 和 admin.system.roles 及2.6 版本的system.users提供以下权限: collMod,createCollection,createIndex,dropCollection,insert 列出所有数据库:listDatabases system.users :find,remove,update |
|
All-Database Roles |
readAnyDatabase |
提供所有数据库中只读权限:read 列出集群所有数据库:listDatabases |
readWriteAnyDatabase |
提供所有数据库读写权限:readWrite 列出集群所有数据库:listDatabases |
|
userAdminAnyDatabase |
提供所有用户数据管理权限:userAdmin Cluster:authSchemaUpgrade,invalidateUserCache,listDatabases admin.system.users和admin.system.roles: collStats,dbHash,dbStats,find,killCursors,planCacheRead createIndex,dropIndex |
|
dbAdminAnyDatabase |
提供所有数据库管理员权限:dbAdmin 列出集群所有数据库:listDatabases |
|
Superuser Roles |
root |
角色:dbOwner,userAdmin,userAdminAnyDatabase readWriteAnyDatabase, dbAdminAnyDatabase, userAdminAnyDatabase,clusterAdmin |
Internal Role |
__system |
集群中对任何数据库采取任何操作 |
参考:mongo Shell Methods , Built-In Roles,Security Methods in the mongo Shell
转载于:https://blog.51cto.com/rmlifejun/1736258
MongoDB 基础(六)安全性(权限操作)相关推荐
- mongodb基础操作之聚合操作、索引优化
mongodb基础操作之聚合操作.索引优化 更好的阅读体验 https://www.wolai.com/wrMtYWKdkzKYjoWM1i64qu 目录 聚合操作 聚合管道操作 Map-Reduce ...
- linux权限切换命令,Linux基础常用命令汇总(权限操作)
权限操作 权限简介 Linux系统上对文件的权限有着严格的控制,用于如果相对某个文件执行某种操作,必须具有对应的权限方可执行成功. Linux下文件的权限类型一般包括读,写,执行.对应字母为 r.w. ...
- Mongodb 笔记01 MongoDB 简介、MongoDB基础知识、启动和停止MongoDB
MongoDB 简介 1. 易于使用:没有固定的模式,根据需要添加和删除字段更加容易 2. 易于扩展:MongoDB的设计采用横向扩展.面向文档的数据模型使它能很容易的再多台服务器之间进行分割.自动处 ...
- mongodb查询文件服务器的数据,服务器端知识库mongodb基础篇
前言 对于nodejs而言,标配但数据库便是mongodb了.而我认为nodejs对于mongodb的操作最为便捷的插件之一就是mongoose,所有我们去掌握mongoose的基本配置就很有必要了, ...
- MongoDB基础知识总结
一.安装 Linux: 命令安装 sudo apt install -y mongodb-org 源码安装 下载源码--解压--移动到/usr/local/目录下--在shell的初始 ...
- MySQL 笔记7 -- 权限操作与视图
MySQL 笔记7 – 权限操作与视图 MySQL 系列笔记是笔者学习.实践MySQL数据库的笔记 课程链接: MySQL 数据库基础入门教程 参考文档: MySQL 官方文档 SQL 教程 一.权限 ...
- MongoDB 基础浅谈
作者:hazenweng,腾讯 QQ 音乐后台开发工程师 MongoDB 作为一款优秀的基于分布式文件存储的 NoSQL 数据库,在业界有着广泛的应用.下文对 MongoDB 的一些基础概念进行简单介 ...
- 【Linux基础】文件权限(待补充)
文件权限(待补充) 文章目录 文件权限(待补充) 0.前言 1.基本权限UGO 1.1UGO的基本概念 1.2RWX针对目录和文件的意义 1.3修改文件的所属者和所属组 1.4修改UGO权限 2.预设 ...
- Python基础之day09-文件操作
Python基础之day09-文件操作 文章目录 Python基础之day09-文件操作 一.文件打开与关闭 二.open函数参数 三.mode选项参数 四.file对象操作 五.文件备份案例 六.w ...
最新文章
- 皮一皮:打完疫苗千万别睡太死...
- UVA 11578 - Situp Benches(dp)
- 计算机语言pandas,计算机语言python100道pandas(含答案)
- (Java)关于泛型
- mysql创建数据库时候同时创建表空间_MySQL 创建InnoDB表空间_编程学问网
- 网页拉起QQ进行交谈
- android studio- java注释自己动手弄起来
- echart雷达图文字挤在一起_【数据可视化·图表篇】雷达图
- 超频,如何超频CPU和显卡?
- Ubuntu 安装 Clang 编译器
- C语言_报数问题:有n个人围成一圈,顺序从零排号。从第一个人开始报数(从1到3报数),凡报到3的人 退出圈子,问最后留下的是原来第几号的那位。
- python pdf转word并保持原有的格式_将PDF转换为Word文档后,格式即可解决问题
- ubuntu安装wechat
- MEGA视频目标检测
- 数字信号处理——绪论总结
- php多张图片下载(zip压缩)
- error TS2687:All declarations of ‘**‘ must have identical modifier
- 英语3500词(九)future universe主题(2022.1.21)
- 切莫让这三只猫跑进管理工作中
- java怎么实现分享链接_分享Java
热门文章
- [转]GeoHash核心原理解析
- 保存画面为图片 当前MFC保存该程序为图片 c++ vc
- Betsy Ross Problem
- [文件、数据库、XML]window phone 利用StreamWriter写入文件问题
- 数据结构上机实践第四周项目3 - 单链表应用
- 【贪心School】机器学习课程笔记
- python可用编程模块规模多大_哪些Python模块可用于编程竞赛?
- c++ 二维数组_C|数形结合理解数组指针、指针数组、一级指针来遍历二维数组
- 后端自我介绍_新人入职自我介绍
- ajax post请求怎么传参_如何在$ ajax POST中传递参数?