MongoDB 基础(六)安全性(权限操作)
来源:互联网 发布:北京程序员培训 编辑:程序博客网 时间:2024/05/16 17:12
和其他所有数据库一样,权限的管理都差不多一样。mongodb存储所有的用户信息在admin 数据库的集合system.users中,保存用户名、密码和数据库信息。mongodb默认不启用授权认证,只要能连接到该服务器,就可连接到mongod。若要启用安全认证,需要更改配置文件参数auth。
以下测试理解
查看数据库:
> show dbs发现 admin 竟然没有!~
找了好久,找不到相关说明,于是直接创建用户admin
use admindb.createUser( { user: "admin", pwd: "admin", roles: [ { role: "userAdminAnyDatabase", db: "admin" } ] })成功创建,再查询admin中的集合,有数据了!> show collectionssystem.indexessystem.userssystem.version
查看3个集合的信息:
> db.system.users.find();{ "_id" : "admin.admin", "user" : "admin", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "cFISfpbm04pmIFpqiL340g==", "storedKey" : "WG1DSEEEHUZUBjsjsnEA4RFVY2M=", "serverKey" : "9Lm+IX6l9kfaE/4C25/ghsQpDkE=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }> > db.system.indexes.find();{ "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.version" }{ "v" : 1, "key" : { "_id" : 1 }, "name" : "_id_", "ns" : "admin.system.users" }{ "v" : 1, "unique" : true, "key" : { "user" : 1, "db" : 1 }, "name" : "user_1_db_1", "ns" : "admin.system.users" }> > db.system.version.find();{ "_id" : "authSchema", "currentVersion" : 5 }> 现在启用 auth:
[root@localhost ~]# vi /etc/mongod.conf
auth=true
重启 mongod 服务:
[root@localhost ~]# service mongod restart
直接默认登录,查看集合,发现无权操作了:
[root@localhost ~]# mongo
[root@localhost ~]# mongoMongoDB shell version: 3.0.2connecting to: test> show dbs2015-05-09T21:57:03.176-0700 E QUERY Error: listDatabases failed:{"ok" : 0,"errmsg" : "not authorized on admin to execute command { listDatabases: 1.0 }","code" : 13} at Error (<anonymous>) at Mongo.getDBs (src/mongo/shell/mongo.js:47:15) at shellHelper.show (src/mongo/shell/utils.js:630:33) at shellHelper (src/mongo/shell/utils.js:524:36) at (shellhelp2):1:1 at src/mongo/shell/mongo.js:47> 刚才在数据库 admin 创建了一个账户 admin ,先到数据admin进来连接(其他db则失败):
[root@localhost ~]# mongoMongoDB shell version: 3.0.2connecting to: test>> db.auth("admin","admin")Error: 18 Authentication failed.0> use mydbswitched to db mydb> db.auth("admin","admin")Error: 18 Authentication failed.0> use adminswitched to db admin> db.auth("admin","admin")1> db.auth("admin","admin") 返回值为1,说明登录成功!~db.auth("admin","admin") 记录是不存在的,执行完后这一行在shell中不会记录历史。
所以现在创建另一个用户"myuser"
db.createUser( { user: "myuser", pwd: "myuser", roles: [ { role: "readWrite", db: "mydb" } ] })也可以增删角色:
#授予角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])db.grantRolesToUser( "myuser" , [ { role: "dbOwner", db: "mydb" } ])#取消角色:db.grantRolesToUser( "userName" , [ { role: "<role>", db: "<database>" } ])db.revokeRolesFromUser( "myuser" , [ { role: "readWrite", db: "mydb" } ])因为在admin数据库创建的,只能在 admin 数据库中登录:
> db.auth("myuser","myuser")Error: 18 Authentication failed.0> > dbmydb> use adminswitched to db admin> db.auth("myuser","myuser");1> 此时是可以切换到所在的数据库进行相关操作:
> use mydbswitched to db mydb> > db.tab.save({"id":999});WriteResult({ "nInserted" : 1 })> > db.tab.find({"id":999});{ "_id" : ObjectId("554ef5ac1b590330c00c7d02"), "id" : 999 }> > show collectionssystem.indexestab> 在创建用户时可以在其数据库中创建,这样不用每次都进入admin数据库登录后再切换。如在数据库"mydb"创建用户"userkk"。
use admindb.auth("admin","admin")use mydbdb.createUser( { user: "userkk", pwd: "userkk", roles: [ { role: "dbOwner", db: "mydb" } ] })db.auth("userkk","userkk")------------------------------------------------------------------------------------------------------------------
华丽分割
------------------------------------------------------------------------------------------------------------------
现在授权测试:
#先访问到admin数据库
use admindb.auth("admin","admin")#roles: 创建角色"testRole"在数据库 "mydb" 中
#privileges: 该角色可查看"find"数据库"mydb"的所有集合
#db.dropRole("testRole")
use mydbdb.createRole({ role: "testRole", privileges: [{ resource: { db: "mydb", collection: "" }, actions: [ "find" ] }], roles: []})#在admin数据库生成集合system.roles。查看角色。
> use adminswitched to db admin> > show collectionssystem.indexessystem.rolessystem.userssystem.version> > db.system.roles.find();{ "_id" : "mydb.testRole", "role" : "testRole", "db" : "mydb", "privileges" : [ { "resource" : { "db" : "mydb", "collection" : "" }, "actions" : [ "find" ] } ], "roles" : [ ] }> #回到mydb,在数据库mydb中创建用户并授予角色"testRole"
#db.dropUser("userkk")
use mydbdb.createUser( { user: "userkk", pwd: "userkk", roles: [ { role: "testRole", db: "mydb" } ] })退出mongodb,重新登录进行操作。发现只能使用find
>exit
[root@localhost ~]# mongoMongoDB shell version: 3.0.2connecting to: test> use mydbswitched to db mydb> > db.auth("userkk","userkk")1> > db.tab.find({"id":999}){ "_id" : ObjectId("554ef5ac1b590330c00c7d02"), "id" : 999 }> > db.tab.insert({"id":1000})WriteResult({"writeError" : {"code" : 13,"errmsg" : "not authorized on mydb to execute command { insert: \"tab\", documents: [ { _id: ObjectId('554f145cdf782b42499d80e5'), id: 1000.0 } ], ordered: true }"}})> 给角色 "testRole" 添加3个 “Privileges”权限: "update", "insert", "remove"。再重新操作。
use admindb.auth("admin","admin")use mydb#添加Privileges给角色db.grantPrivilegesToRole("testRole", [{ resource: { db: "mydb", collection: "" },actions: [ "update", "insert", "remove" ]}])exit #退出mongodb重新登录use mydbdb.auth("userkk","userkk")#增删数据可以操作了!~db.tab.insert({"id":1000})db.tab.find({"id":1000})db.tab.remove({"id":1000})#此时admin的角色记录为:> db.system.roles.find();{ "_id" : "mydb.testRole", "role" : "testRole", "db" : "mydb", "privileges" : [ { "resource" : { "db" : "mydb", "collection" : "" }, "actions" : [ "find", "insert", "remove", "update" ] } ], "roles" : [ ] }> #更改角色 roles,把roles值全部更新。同样Privileges也可以更新替换!~
use admindb.auth("admin","admin")use mydbdb.updateRole("testRole",{ roles:[{ role: "readWrite",db: "mydb"}]},{ w:"majority" })db.auth("userkk","userkk")show dbs关于角色,参考官方文档提取总结如下:
角色分类
角色
权限及角色
(本文大小写可能有些变化,使用时请参考官方文档)
Database User Roles
read
CollStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections
readWrite
CollStats,ConvertToCapped,CreateCollection,DbHash,DbStats,
DropCollection,CreateIndex,DropIndex,Emptycapped,Find,
Insert,KillCursors,ListIndexes,ListCollections,Remove,
RenameCollectionSameDB,update
Database Administration Roles
dbAdmin
collStats,dbHash,dbStats,find,killCursors,listIndexes,listCollections,
dropCollection 和 createCollection 在 system.profile
dbOwner
角色:readWrite, dbAdmin,userAdmin
userAdmin
ChangeCustomData,ChangePassword,CreateRole,CreateUser,
DropRole,DropUser,GrantRole,RevokeRole,ViewRole,viewUser
Cluster Administration Roles
clusterAdmin
角色:clusterManager, clusterMonitor, hostManager
clusterManager
AddShard,ApplicationMessage,CleanupOrphaned,FlushRouterConfig,
ListShards,RemoveShard,ReplSetConfigure,ReplSetGetStatus,
ReplSetStateChange,Resync,
EnableSharding,MoveChunk,SplitChunk,splitVector
clusterMonitor
connPoolStats,cursorInfo,getCmdLineOpts,getLog,getParameter,
getShardMap,hostInfo,inprog,listDatabases,listShards,netstat,
replSetGetStatus,serverStatus,shardingState,top
collStats,dbStats,getShardVersion
hostManager
applicationMessage,closeAllDatabases,connPoolSync,cpuProfiler,
diagLogging,flushRouterConfig,fsync,invalidateUserCache,killop,
logRotate,resync,setParameter,shutdown,touch,unlock
Backup and Restoration Roles
backup
提供在admin数据库mms.backup文档中insert,update权限
列出所有数据库:listDatabases
列出所有集合索引:listIndexes
对以下提供查询操作:find
*非系统集合
*系统集合:system.indexes, system.namespaces, system.js
*集合:admin.system.users 和 admin.system.roles
restore
非系统集合、system.js,admin.system.users 和 admin.system.roles 及2.6 版本的system.users提供以下权限:
collMod,createCollection,createIndex,dropCollection,insert
列出所有数据库:listDatabases
system.users :find,remove,update
All-Database Roles
readAnyDatabase
提供所有数据库中只读权限:read
列出集群所有数据库:listDatabases
readWriteAnyDatabase
提供所有数据库读写权限:readWrite
列出集群所有数据库:listDatabases
userAdminAnyDatabase
提供所有用户数据管理权限:userAdmin
Cluster:authSchemaUpgrade,invalidateUserCache,listDatabases
admin.system.users和admin.system.roles:
collStats,dbHash,dbStats,find,killCursors,planCacheRead
createIndex,dropIndex
dbAdminAnyDatabase
提供所有数据库管理员权限:dbAdmin
列出集群所有数据库:listDatabases
Superuser Roles
root
角色:dbOwner,userAdmin,userAdminAnyDatabase
readWriteAnyDatabase, dbAdminAnyDatabase,
userAdminAnyDatabase,clusterAdmin
Internal Role
__system
集群中对任何数据库采取任何操作
参考:mongo Shell Methods , Built-In Roles,Security Methods in the mongo Shell
- MongoDB 基础(六)安全性(权限操作)
- MongoDB 基础 安全性(权限操作)
- MongDB基础学习(六)—— 【MongoDB for Java】Java操作MongoDB
- (六)数据库安全性
- MongoDB 数据库操作(六)-数据导出
- MongoDB(六)java操作mongodb增删改查
- linux基础命令(六)文件权限
- Linux基础操作(六)
- linux基础(六)文件权限,acl权限设定
- MongoDB GridFS(六)
- mongodb基础操作(陆续更新)
- Spring Data MongoDB 六:进阶Aggregation操作(上)
- Spring Data MongoDB 六:进阶Aggregation操作(上)
- Spring Data MongoDB 六:进阶Aggregation操作(上)
- 操作Cassandra(8)-安全性
- Linux 学习(六)--- 文件权限的操作
- 学习MongoDB 六: MongoDB查询(游标操作、游标信息)(三)
- MongoDB c++ driver(六)
- RequireJS入门(一)
- JavaWeb_Cookie与Session
- 安装Office 2013后的HTML图标问题记录
- 管道选取排序命令
- 第一次写博客完全不懂,先记录一下自学linux入门时遇到的困难,
- MongoDB 基础(六)安全性(权限操作)
- BP算法推导过程
- gdb学习
- 第九周阅读程序一:学生信息管理系统
- sqlserver 即席连接外部数据
- win8下调出windows defender
- git多人协作开发流程(以blog为例)
- Android学习个人笔记-百度地图定位sdk的使用
- Sicily 11157. Crossword
