建立mongodb的登录认证功能
对于一个完善的数据库系统,必然是需要权限控制,当然mongodb也不例外.没有认证的数据库已经被证明是******的一个突破口,所以我们无论是出于什么原因,数据库认证对于一个生产系统而言,至关重要.
在MongoDB 3.0 以后,用户登录的密码认证机制有:SCRAM-SHA-1(默认,基于加盐的应答式认证),MONGODB-CR(普通应答式认证,3.6废弃,4.0删除),x.509 Certificate(基于证书的SSL/TLS加密认证),LDAP Proxy(基于LDAP系统的鉴权认证,仅企业版支持),Kerberos(基于Kerberos鉴权,仅企业版支持),一般而言,默认的就已经很不错了.
然后mongodb还有一个内部鉴权策略,主要是防止数据被拦截,有:keyfile(基于SCRAM的应答式认证),x.509 Certificate(基于证书的SSL/TLS加密),对于内部来说,如非特殊情况,使用keyfile就足够了.
对单台数据库增加mongodb认证信息(基本认证知识)
首先要讲一讲的是,mongodb本身并没有要求一定要认证登录,也就是免认证直接登录是允许的,不过出于安全考虑的话,我们应该更加严谨一些,增加认证登录来使用,但是mongodb又不同于mysql和oracle的授权方式,比较奇怪.下面来看.
首先,也是要打开参数
#打开配置文件vim /usr/local/mongodb/mongod_data_40001.conf . . .#是否开启认证模式,现在开启来使用auth = true#关闭认证模式,和上面的冲突,之前是开启的,现在关闭了#noauth = true#指定集群认证文件,没开认证就不用指定,注释关闭即可,需要用openssl来生成,暂时不研究#keyFile = /data/mongodb/data/keyfile#指定访问地址,3.4之前默认全网,之后则默认是127.0.0.1,但是在3.6之后必须制定这个参数才能启动.配置0.0.0.0代表全网匹配#bind_ip=0.0.0.0
参数打开了,需要重启一下登录
#登录进去操作mongo -port=40001MongoDB shell version v3.4.16-rc0connecting to: mongodb://127.0.0.1:40001/MongoDB server version: 3.4.16-rc0#操作一下> show dbs2018-07-17×××5:04:34.009+0800 E QUERY [thread1] Error: listDatabases failed:{ "ok" : 0, "errmsg" : "not authorized on admin to execute command { listDatabases: 1.0 }", "code" : 13, "codeName" : "Unauthorized"} :_getErrorWithCode@src/mongo/shell/utils.js:25:13Mongo.prototype.getDBs@src/mongo/shell/mongo.js:62:1shellHelper.show@src/mongo/shell/utils.js:788:19shellHelper@src/mongo/shell/utils.js:678:15@(shellhelp2):1:1>好像报错了,但是请淡定,这是正常现象,因为之前默认是免认证,现在开启了认证,你又没创建用户,那肯定是报错的,不过不用担心,因为你原本是没用户密码的,所以是可以新建的.
但是要注意,在初始无账户密码状态下,只能通过登录127.0.0.1这个地址你才能创建用户和密码,所以就需要注意参数bind_ip的值了.
#进入admin数据库,也是当前用户认证库> use adminswitched to db admin#授权> db.createUser({user:"adminuser",pwd:"admin123",roles:[{role:"userAdminAnyDatabase",db:"admin"}]})Successfully added user: { "user" : "adminuser", "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ]}#再创建多一个试试> db.createUser({user:"root",pwd:"root123",roles:[{role:"root",db:"admin"}]})2018-07-17×××5:05:04.167+0800 E QUERY [thread1] Error: couldn't add user: not authorized on admin to execute command { createUser: "root", pwd: "xxx", roles: [ { role: "root", db: "admin" } ], digestPassword: false, writeConcern: { w: "majority", wtimeout: 600000.0 } } :_getErrorWithCode@src/mongo/shell/utils.js:25:13DB.prototype.createUser@src/mongo/shell/db.js:1292:15@(shell):1:1>又报错了?没错,这个时候你已经有用户了,所以就拒绝你的操作了,你要先认证一下你自己刚建好的用户了
#认证一下你刚才创建的用户> db.auth("adminuser","admin123")1> use adminswitched to db admin#再次创建用户> db.createUser({user:"root",pwd:"root123",roles:[{role:"root",db:"admin"}]})Successfully added user: { "user" : "root", "roles" : [ { "role" : "root", "db" : "admin" } ]}> db.auth("root","root123")1> show dbsadmin 0.000GBlocal 0.000GB>这次没问题了,解决了问题,要想创建更多用户,甚至细化到个别数据库来创建用户,你可以这样:
use foo;db.createUser({user: 'foo', pwd: 'bar', roles: [{role: 'readWrite', db: 'foo'}]})db.auth('foo', 'bar')这里就涉及一个mongodb特别的知识点---认证库的概念.
mongodb和别的数据库不同,认证的信息是细化到库的,而并不是像mysql,oracle,sql server那样集中管理,都存放到一个user表.
不同数据库的用户可以存放到不同的数据库,例如:foo库的用户foo只存放在foo库里面,他不能登录admin库,在admin库里面是没有foo用户信息.同理,admin库的用户root是不存在于foo库的,但是root用户是能登陆foo的,原因是root用户的权限更大一些(废话).但是,你如果把foo库删除了,那么foo用户也会"顺便"被一起删除了,也就是这个用户和这个库也彻底不再了.
所以我们有两种不同的理念,基于方便管理的概念来说,我们应该集中管理,对于认证库这个概念,我们的思路应该把它们都建立在admin库更佳,然后再细分权限,删除库有时候可以只是删除登录用户就可以了.基于安全考虑问题,我们不能让一些废弃用户存在,因为mongodb的特性是没有create动作,只要有权限,就可以自动创建库和表的.
然后还有第二个mongodb的知识点---角色权限管理
mongodb创建的用户是按role角色来区分权限的,跟我们熟悉的oracle和sql server相似(mysql8.0后才支持角色管理),这点倒不是特别了.至于有什么role选择呢,你可以show roles看看.我们主要常用的有全局超级管理员userAdminAnyDatabase(也是我们第一个需要创建的用户权限),readWriteAnyDatabase,readWrite,readAnyDatabase,read,root等.
每一个角色代表着有不同的权限集合,可以细化到每个用户的权限范围,例如read就只能find查询,readWrite就是典型的增删查改了,还有我们熟悉的root就是完全控制权限了.
mongos> show roles{ "role" : "__system", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ]}{ "role" : "backup", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ]}{ . . .}{ "role" : "read", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ]}{ "role" : "readAnyDatabase", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ]}{ "role" : "readWrite", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ]}{ "role" : "readWriteAnyDatabase", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ]}{ "role" : "restore", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ]}{ "role" : "root", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ]}{ "role" : "userAdmin", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ]}{ "role" : "userAdminAnyDatabase", "db" : "admin", "isBuiltin" : true, "roles" : [ ], "inheritedRoles" : [ ]}这里就不详细解析了,大多数和字面意思差不多,非常赞.
既然创建完成了,我们尝试下带用户名的登陆方式:
[root@localhost ~]# mongo 10.21.14.16:40001/admin -u root -p "root123"MongoDB shell version v3.4.16-rc0connecting to: mongodb://10.21.14.16:40001/adminMongoDB server version: 3.4.16-rc0> show dbsadmin 0.000GBlocal 0.000GB>
可以正常使用了.
当然了,用户就必须是可以修改和删除信息的,这里不详细讲,附上命令参考
#假设我们新建了一个用户ttt,这里就不解析了>use admin>db.createUser({user:"ttt",pwd:"123",roles:[{role:"root",db:"admin"}]})>db.auth("ttt","123")#查看现在所有的用户信息,也就多了个ttt了.> db.system.users.find(){ "_id" : "admin.adminuser", "user" : "adminuser", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "jLubKc6ODHMxCnjFeeJuog==", "storedKey" : "l1cL39bnvkw2fecw1DHdKM0TM7s=", "serverKey" : "ZD+EZymr8OhlwMZ/0h35Qn8QHE4=" } }, "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }{ "_id" : "admin.root", "user" : "root", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "Fx2BRB2ZIJeD2X+bvM0ZIg==", "storedKey" : "Yyo+vcxhv40vNXZwUNfnBTz×××30=", "serverKey" : "th4UbT+/aJcgOXvKx4TFDhX242k=" } }, "roles" : [ { "role" : "root", "db" : "admin" } ] }{ "_id" : "admin.ttt", "user" : "ttt", "db" : "admin", "credentials" : { "SCRAM-SHA-1" : { "iterationCount" : 10000, "salt" : "X58qg8jiiM3ju8v8Cywu8A==", "storedKey" : "MO4lwHhFUn50Ja0/QCHeN4hObRQ=", "serverKey" : "N9iUXgshDP9beTD8pNKfrmtl0V0=" } }, "roles" : [ { "role" : "root", "db" : "admin" } ] }#另一个命令也能看到> db.getUsers()[ { "_id" : "admin.adminuser", "user" : "adminuser", "db" : "admin", "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }, { "_id" : "admin.root", "user" : "root", "db" : "admin", "roles" : [ { "role" : "root", "db" : "admin" } ] }, { "_id" : "admin.ttt", "user" : "ttt", "db" : "admin", "roles" : [ { "role" : "root", "db" : "admin" } ] }]#再看看新建的那个用户> db.getUser("ttt"){ "_id" : "admin.ttt", "user" : "ttt", "db" : "admin", "roles" : [ { "role" : "root", "db" : "admin" } ]}#我们修改用户的所有信息,都可以通过下面这条命令实现,#db.updateUser("UESR",{修改信息})#现在我们需要修改的是密码> db.updateUser("ttt",{pwd:"789"})#修改完成,旧密码登录就会报错> db.auth("ttt","123")Error: Authentication failed.0#新密码就没事了> db.auth("ttt","789")1#不过,修改密码的方式并不是只有一种,下面这种也行> db.changeUserPassword("ttt","456")#同理,旧密码登录就会报错了> db.auth("ttt","123")Error: Authentication failed.0#新密码就没事了> db.auth("ttt","456")1#删除用户就很简单了> db.dropUser("ttt")true#现在你还想登录,当然是不行的> db.getUser("ttt")2018-07-18T09:38:38.504+0800 E QUERY [thread1] Error: not authorized on admin to execute command { usersInfo: "ttt" } :_getErrorWithCode@src/mongo/shell/utils.js:25:13DB.prototype.getUser@src/mongo/shell/db.js:1518:1@(shell):1:1#登录到其他用户就行了> db.auth("root","root123")1> db.dropUser("ttt")false> db.getUser("ttt")null> db.getUsers()[ { "_id" : "admin.adminuser", "user" : "adminuser", "db" : "admin", "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ] }, { "_id" : "admin.root", "user" : "root", "db" : "admin", "roles" : [ { "role" : "root", "db" : "admin" } ] }]>关于单台服务器的认证方式就说到这里了.
对集群数据库增加mongodb认证信息
正如我之前说的,使用mongodb,大部分人不会只用单台,因为这就是源生的分布式数据库.而使用集群的认证,比起单台,则需要增加一个keyfile,当然你也能用另一种,这里不展开讲太多.
我这里前置条件说明一下,这个时候集群是已经搭建好了,但是集群内的用户还没有创建起来,因为你没有创建keyfile也是走不起来.
首先,要在所有节点配置都打开keyfile,并配上路径,并确保mongodb有这个文件的权限,无论你是分片集群,还是单纯副本集,在mongos端,config端,share端,都要一起启用,要不然没有配置的就会报权限错误,如果是副本集而又授权了,你还需要重新做一遍才行.
#打开配置文件vim /usr/local/mongodb/mongod_data_40001.conf . . .#是否开启认证模式,现在开启来使用auth = true#关闭认证模式,和上面的冲突,之前是开启的,现在关闭了#noauth = true#指定集群认证文件,没开认证就不用指定,注释关闭即可,需要用openssl来生成,暂时不研究keyFile = /data/mongodb/data/keyfile#指定访问地址,3.4之前默认全网,之后则默认是127.0.0.1,但是在3.6之后必须制定这个参数才能启动.配置0.0.0.0代表全网匹配#bind_ip=0.0.0.0
改完之后,没启动就先不要急着启动,而已经启动了的,也不要急着重启,稍等再重启.
然后,我们要生成这个keyfile文件
#用openssl命令生成一个64位的秘钥文件openssl rand -base64 64 > keyfile#把它权限设成600,不然就报错权限过高的错误chmod 600 keyfile#把他移到目的目录mv keyfile /data/mongodb/data/#记得把权限搞一搞chown mongodb:mongodb /data/mongodb/data/keyfile
有些人好奇,为什么是64位的秘钥文件?没错,真的可以更多,或者更少,例如:
openssl rand -base64 741 >keyfileopenssl rand -base64 16 >keyfile
这些都可以用,但是,要考虑系统性能问题和数据安全的问题.秘钥文件越复杂,那么你内部系统的加密与解密就需要更耗费资源,尤其在高并发环境,可以讲比较悲催.但是太简单,那么你的数据被破解的几率就更高,安全性就谈不上了.我这里只是折衷,所以是64,各位有兴趣可以根据实际情况来设置.
再然后,重新启动各节点,或者说你没启动的话,就现在启动了,按以下顺序重启所有服务
config副本集:先主库,再从库,让他慢慢切换.
router服务:随便重启.
shard副本集:先主库,再从库,让他慢慢切换.
最后,就开始创建用户授权了,就和上面一样操作就可以了
#如果我们没有做好副本集或集群,那就还需要先做,详细解析我就不做了.> config = {_id:"sljd_shard1",members:[{_id:0, host:"172.25.40.80:40001" },{_id:1, host:"172.25.40.81:40001" },{_id:2, host:"172.25.40.82:40001" }]}> rs.initiate(config)> rs.status()#然后进入admin数据库,也是当前用户认证库shard1:PRIMARY> use adminswitched to db admin#授权shard1:PRIMARY> db.createUser({user:"root",pwd:"admin123",roles:[{role:"userAdminAnyDatabase",db:"admin"}]})Successfully added user: { "user" : "adminuser", "roles" : [ { "role" : "userAdminAnyDatabase", "db" : "admin" } ]}#然后登陆shard1:PRIMARY> db.auth("root","admin123")#或者mongo 172.25.40.80:40001/admin -u root -p "admin123"然后,我们看到用户了
#登陆上主库,注意认证库mongo 172.25.40.80:40001/admin -u root -p "admin123"#在主库上查看一下用户情况shard1:PRIMARY> db.getUsers()[ { "_id" : "admin.root", "user" : "root", "db" : "admin", "roles" : [ { "role" : "root", "db" : "admin" } ] }]#登陆上从库.注意认证库mongo 172.25.40.81:40001/admin -u root -p "admin123"#要多做一步,允许在从库执行查询,不然会报错,因为从库默认是只读的shard1:SECONDARY> rs.slaveOk()#再在从库执行一下shard1:SECONDARY> db.getUsers()[ { "_id" : "admin.root", "user" : "root", "db" : "admin", "roles" : [ { "role" : "root", "db" : "admin" } ] }]好了,那就没问题了.
