MongoDB安全營運

標籤：blog   http   io   ar   os   使用   sp   檔案   資料   

0×00 MongoDB許可權介紹

1.MongoDB安裝時不添加任何參數,預設是沒有許可權驗證的,登入的使用者可以對資料庫任意操作而且可以遠端存取資料庫，需以–auth參數啟動。

2.在剛安裝完畢的時候MongoDB都預設有一個admin資料庫,此時admin資料庫是空的,沒有記錄許可權相關的資訊。當admin.system.users一個使用者都沒有時，即使mongod啟動時添加了–auth參數,如果沒有在admin資料庫中添加使用者,此時不進行任何認證還是可以做任何操作(不管是否是以–auth 參數啟動),直到在admin.system.users中添加了一個使用者。

3.MongoDB的訪問分為串連和許可權驗證，即使以–auth參數啟動還是可以不使用使用者名稱串連資料庫，但是不會有任何的許可權進行任何操作

4.admin資料庫中的使用者名稱可以管理所有資料庫，其他資料庫中的使用者只能管理其所在的資料庫。

5.在2.4之前版本中，使用者的許可權分為唯讀和擁有所有許可權；2.4版本的許可權管理主要分為：資料庫的操作許可權、資料庫使用者的系統管理權限、叢集的系統管理權限，建議由超級使用者在admin資料庫中管理這些使用者。不過依然相容2.4版本之前的使用者管理方法。

 

0×01 MongoDB中使用者的角色說明1. read角色

資料庫的唯讀許可權，包括：

aggregate,checkShardingIndex,cloneCollectionAsCapped,collStats,count,dataSize,dbHash,dbStats,distinct,filemd5，mapReduce (inline output only.),text (beta feature.)geoNear,geoSearch,geoWalk,group 

2. readWrite角色

資料庫的讀寫權限，包括：

read角色的所有許可權

cloneCollection (as the target database.),convertToCapped，create (and to create collections implicitly.)，renameCollection (within the same database.)findAndModify,mapReduce (output to a collection.) drop(),dropIndexes,emptycapped,ensureIndex() 

3. dbAdmin角色

資料庫的系統管理權限，包括：

clean,collMod,collStats,compact,convertToCappe create,db.createCollection(),dbStats,drop(),dropIndexes ensureIndex()，indexStats,profile,reIndex renameCollection (within a single database.),validate 

4. userAdmin角色

資料庫的使用者系統管理權限

5. clusterAdmin角色

叢集系統管理權限(複本集、分區、主從等相關管理)，包括：

addShard,closeAllDatabases,connPoolStats,connPoolSync,_cpuProfilerStart_cpuProfilerStop,cursorInfo,diagLogging,dropDatabase shardingState,shutdown,splitChunk,splitVector,split,top,touchresync serverStatus,setParameter,setShardVersion,shardCollection replSetMaintenance,replSetReconfig,replSetStepDown,replSetSyncFrom repairDatabase,replSetFreeze,replSetGetStatus,replSetInitiate logRotate,moveChunk,movePrimary,netstat,removeShard,unsetSharding hostInfo,db.currentOp(),db.killOp(),listDatabases,listShardsgetCmdLineOpts,getLog,getParameter,getShardMap,getShardVersion enableSharding,flushRouterConfig,fsync,db.fsyncUnlock() 

6. readAnyDatabase角色

任何資料庫的唯讀許可權(和read相似)

7. readWriteAnyDatabase角色

任何資料庫的讀寫權限(和readWrite相似)

8. userAdminAnyDatabase角色

任何資料庫使用者的系統管理權限(和userAdmin相似)

9. dbAdminAnyDatabase角色

任何資料庫的系統管理權限(dbAdmin相似)

0×02 MongoDB安裝注意事項1. 安裝的時候需要加–auth

加了–auth之後MongoDB才需要驗證

2. 需要加–nohttpinterface

不加會有一個28017的連接埠監聽，可以通過網頁管理mongodb，不需要請去掉

3. 可以加–bind_ip

加之後可以限制訪問的ip

4. 可以加–port

加了之後可以重新制定連接埠，預設為27017

5. 安裝完之後需立即在admin資料庫中添加一個使用者

只有在admin資料庫中添加一個使用者後才能使認證生效

註：安裝的過程其實就是添加1個服務，指定啟動時候的參數。

0×03 使用者授權1. 2.4之前版本的使用者管理方式1.1、進入admin建立一個管理帳號

use admin db.addUser("test","test") 

1.2、進入需要使用的資料庫中建立一個程式使用使用者

use test db.addUser("test","test")預設擁有讀寫權限 db.addUser("test","test",True)擁有讀取許可權 

2. 2.4版本的使用者管理，也可使用之前版本的方式2.1、進入admin建立一個管理帳號

use admin db.addUser("test","test") 

2.2、進入admin給使用的資料庫test建立一個對資料庫及日誌擁有讀寫權限的賬戶

use admin db.addUser({    "user": "test",     "pwd": "test",     "roles": [ ],     "otherDBRoles": {        "test": [            "readWrite"        ],         "test_log": [            "readWrite"        ]    }}) 

0×04 安全配置方案1. 安裝的時候加–auth，並立即在admin資料庫建立一個使用者

預設情況下MongoDB是無需驗證的，所以這是至關重要的一步

2. 可以考慮安裝的時候修改連接埠和指定訪問ip

具體根據實際情況來設定，也可以直接在伺服器防火牆上做

3. 安裝的時候建議加上–nohttpinterface取消預設的一個網頁管理方式

預設的web管理一般不會用，且很多人不知道，最好關閉

4. 系統管理使用者處理

因需要在admin中建立一個管理賬戶用於管理，最好是設定強密碼，但是不要給其他程式使用

5. MongoDB服務運行賬戶

windows下可以使用network service 或者建立一個使用者，使用預設的USERS組，然後添加給予資料庫檔案及日誌儲存目錄的寫入權限，並建議取消對cmd等程式的執行許可權。

linux下建立一個賬戶，給予程式的執行許可權和資料庫檔案及日誌目錄的讀寫權限，並建議取消對sh等程式的執行許可權。

6. 控制好網站或者其他程式使用的串連使用者權限

網站或者其他程式使用的使用者只給予對應庫的許可權，不要使用admin資料庫中的管理賬戶。

0×05 常用命令1. 安裝

mongod --dbpath d:\mongodb\data --logpath d:\mongodb\log\mongodb.log ----nohttpinterface --auth --install

2. 添加使用者

use admin db.addUser("test","test") 

3. 顯示所有資料庫

show dbs 

4. 使用某個資料庫

use test 

5. 串連資料庫

mongo test -uroot -p123456 

6. 添加使用者認證

db.auth("username","password") 

7. 查看使用者

db.system.users.find() 

就寫幾個基本的，其他的網上很多，或者用工具連上去之後操作。

0×06 管理工具1. MongoVUE

用戶端形式的管理工具

2. rockmongo

基於php的web管理

----------------------------------------------

From Zhangsan‘s Blog / WOOYUNDROPS

MongoDB安全營運