MongoDB——高级——集群和安全：安全认证（八）

1、MongoDB的用户和角色权限简介

默认情况下，MongoDB实例启动运行时是没有启用用户访问权限控制的，在实例本机服务器上都可以随意连接到实例进行各种操作，MongoDB不会对连接客户端进行用户验证，这是非常危险的。

为了能保障mongodb的安全可以做以下几个步骤：

1）使用新的端口，默认的27017端口如果一旦知道了ip就能连接上，不太安全。

2）设置mongodb的网络环境，最好将mongodb部署到公司服务器内网，这样外网是访问不到的。公司内部访问使用vpn等。

3）开启安全认证。认证要同时设置服务器之间的内部认证方式，同时要设置客户端连接到集群的账号密码认证方式。

为了强制开启用户访问控制(用户验证)，则需要在MongoDB实例启动时使用选项 --auth 或在指定启动配置文件中添加选项 auth=true 。

关于角色权限的查看：

// 查询所有角色权限(仅用户自定义角色)
> db.runCommand({ rolesInfo: 1 })
// 查询所有角色权限(包含内置角色)
> db.runCommand({ rolesInfo: 1, showBuiltinRoles: true })
// 查询当前数据库中的某角色的权限
> db.runCommand({ rolesInfo: "<rolename>" })
// 查询其它数据库中指定的角色权限
> db.runCommand({ rolesInfo: { role: "<rolename>", db: "<database>" } }
// 查询多个角色权限
> db.runCommand({rolesInfo: ["<rolename>",{ role: "<rolename>", db: "<database>" },...]}
)

常用的内置角色：

数据库用户角色：read、readWrite;
所有数据库用户角色：readAnyDatabase、readWriteAnyDatabase、 userAdminAnyDatabase、dbAdminAnyDatabase
数据库管理角色：dbAdmin、dbOwner、userAdmin；
集群管理角色：clusterAdmin、clusterManager、clusterMonitor、hostManager；
备份恢复角色：backup、restore；
超级用户角色：root
内部角色：system

2、单实例环境

（1）关闭已开启的服务

先停止之前的服务，停止服务的方式有两种：快速关闭和标准关闭

1）快速关闭方法（快速，简单，数据可能会出错）

通过系统的kill命令直接杀死进程：杀完要检查一下，避免有的没有杀掉。

#通过进程编号关闭节点
kill -2 54410

如果一旦是因为数据损坏，则需要进行如下操作

删除lock文件：

rm -f /mongodb/single/data/db/*.lock

修复数据：

/usr/local/mongodb/bin/mongod --repair --dbpath=/mongodb/single/data/db

（2）标准的关闭方法

通过mongo客户端中的shutdownServer命令来关闭服务

//客户端登录服务，注意，这里通过localhost登录，如果需要远程登录，必须先登录认证才行。
mongo --port 27017
//#切换到admin库
use admin
//关闭服务
db.shutdownServer()

（3）添加用户和权限

1）先按照普通无授权认证的配置，来配置服务端的配置文件 /mongodb/single/mongod.conf :

systemLog:#MongoDB发送所有日志输出的目标指定为文件destination: file#mongod或mongos应向其发送所有诊断日志记录信息的日志文件的路径path: "/mongodb/single/log/mongod.log"#当mongos或mongod实例重新启动时，mongos或mongod会将新条目附加到现有日志文件的末尾。logAppend: true
storage:#mongod实例存储其数据的目录。storage.dbPath设置仅适用于mongod。dbPath: "/mongodb/single/data/db"journal:#启用或禁用持久性日志以确保数据文件保持有效和可恢复。enabled: true
processManagement:#启用在后台运行mongos或mongod进程的守护进程模式。fork: true#指定用于保存mongos或mongod进程的进程ID的文件位置，其中mongos或mongod将写入其PIDpidFilePath: "/mongodb/single/log/mongod.pid"
net:#服务实例绑定的IPbindIp: localhost,192.168.0.2#绑定的端口port: 27017

2）按之前未开启认证的方式（不添加 --auth 参数）来启动MongoDB服务：

/usr/local/mongodb/bin/mongod -f /mongodb/single/mongod.conf

3）使用Mongo客户端登录：

/usr/local/mongodb/bin/mongo --host 180.76.159.126 --port 27017

4）创建两个管理员用户，一个是系统的超级管理员 myroot ，一个是admin库的管理用户 myadmin ：

//切换到admin库
> use admin
//创建系统超级用户 myroot,设置密码123456，设置角色root
//> db.createUser({user:"myroot",pwd:"123456",roles:[ { "role" : "root", "db" : "admin"}]})
//或
> db.createUser({user:"myroot",pwd:"123456",roles:["root"]})
Successfully added user: { "user" : "myroot", "roles" : [ "root" ] }
//创建专门用来管理admin库的账号myadmin，只用来作为用户权限的管理
> db.createUser({user:"myadmin",pwd:"123456",roles:
[{role:"userAdminAnyDatabase",db:"admin"}]})
Successfully added user: {"user" : "myadmin","roles" : [{"role" : "userAdminAnyDatabase","db" : "admin"}]
}
//查看已经创建了的用户的情况：
> db.system.users.find()
//删除用户
> db.dropUser("myadmin")
true
> db.system.users.find()
//修改密码
> db.changeUserPassword("myroot", "123456")

和其它数据库（MySQL）一样，权限的管理都差不多一样，也是将用户和权限信息保存到数据库对应的表中。Mongodb存储所有的用户信息在admin 数据库的集合system.users中，保存用户名、密码和数据库信息。

如果不指定数据库，则创建的指定的权限的用户在所有的数据库上有效，如 {role: "userAdminAnyDatabase", db:""}

5）认证测试

//切换到admin
> use admin
//密码输错
> db.auth("myroot","12345")
Error: Authentication failed.
0
//密码正确
> db.auth("myroot","123456")
1

（3）服务端开启认证和客户端连接登录

1）关闭已经启动的服务

2）以开启认证的方式启动服务

有两种方式开启权限认证启动服务：一种是参数方式，一种是配置文件方式。

参数方式

/usr/local/mongodb/bin/mongod -f /mongodb/single/mongod.conf --auth

配置文件方式，在mongod.conf配置文件中加入： vim /mongodb/single/mongod.conf

security:#开启授权认证authorization: enabled

启动时可不加 --auth 参数：

/usr/local/mongodb/bin/mongod -f /mongodb/single/mongod.conf

3）开启了认证的情况下的客户端登录

先连接再认证

[root@bobohost bin]# /usr/local/mongodb/bin/mongo --host 180.76.159.126 --port
27017
MongoDB shell version v4.0.10
connecting to: mongodb://180.76.159.126:27017/?gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("53fef661-35d6-4d29-b07c-020291d62e1a")
}
MongoDB server version: 4.0.10

连接时直接认证

[root@bobohost ~]# /usr/local/mongodb/bin/mongo --host 180.76.159.126 --port
27017 --authenticationDatabase admin -u myroot -p 123456
MongoDB shell version v4.0.10

（4）SpringDataMongoDB连接认证

使用用户名和密码连接到 MongoDB 服务器，你必须使用 'username:password@hostname/dbname' 格式，'username'为用户名，'password' 为密码。

application.yml：

spring:#数据源配置data:mongodb:# 主机地址# host: 180.76.159.126# 数据库# database: articledb# 默认端口是27017# port: 27017#帐号# username: bobo#密码# password: 123456#单机有认证的情况下，也使用字符串连接uri: mongodb://bobo:123456@180.76.159.126:27017/articledb