mongodb禁止外網訪問以及添加賬號

未曾料到被黑客勒索比特幣的戲碼竟然降臨到我的身上，幾個月的技術積累付之一炬。怪只怪自己學藝不精，心存僥幸和無知，不過經此一役，方知網路安全防護的重要性。

一直未給自己的mongodb資料庫設置賬號密碼，也沒禁止外網訪問，等同於在這個開放的網路世界里裸奔了幾個月，不被人惦記才怪呢。

昔人有雲：跌倒並不可怕，可怕的是在同一個地方跌倒兩次。

亡羊補牢，猶未遲也。

那麼我將從兩個方面提高mongo資料庫的安全防護繫數

1.設置mongodb外網禁止訪問

          啟動資料庫時，額外添加--bind_ip 127.0.0.1即可

 ./mongod --bind_ip 127.0.0.1 --dbpath /data/db --auth

       也可以通過修改/etc/mongod.conf文件添加一行代碼

#只監聽本地介面，多個介面用,隔開
bind_ip = 127.0.0.1

2.為資料庫設置賬號密碼登錄許可權

         為了保證資料庫需要賬號密碼才能連接，那麼在啟動資料庫的時候需要添加auth參數

./mongod --dbpath /data/db --auth

         也可以通過修改/etc/mongod.conf文件添加一行代碼

　　auth = true

        這樣在進行資料庫連接的時候需要相應的賬號密碼才能成功訪問。

        如果之前資料庫未設置賬號密碼的話，那麼需要先添加一個管理員賬戶，

> use admin

switched to db admin

> db.createUser({user:"root",pwd:"123456",roles:["userAdminAnyDatabase"]})

Successfully added user: { "user" : "root", "roles" : [ "userAdminAnyDatabase" ] }

        此時我們就成功的創建了一個管理員賬戶 賬戶名 root  密碼 123456 ，此時執行show dbs會出現如下報錯

> show dbs
2017-12-03T22:14:58.418+0800 E QUERY    [thread1] Error: listDatabases failed:{
    "ok" : 0,
    "errmsg" : "not authorized on admin to execute command { listDatabases: 1.0 }",
    "code" : 13,
    "codeName" : "Unauthorized"
} .....

上邊提示意為當前admin資料庫未經授權無法執行指令，因此需要以管理員身份登錄驗證,如下操作

> db.auth('dpd','123456')
1

上邊執行登錄操作，輸出結果 1，說明登錄成功。此時再執行 show dbs 則會成功輸出結果。此刻我們是以管理員的身份登錄資料庫，如果切換到test資料庫，執行db.blog.insert({name:1})會報錯如下，同樣意為該資料庫未經授權無法操作：

> use test
switched to db test
> db.blog.insert({name:1})
WriteResult({
    "writeError" : {
        "code" : 13,
        "errmsg" : "not authorized on test to execute command { insert: \"blog\", documents: [ { _id: ObjectId('5a240d8e2d43081ea4271cc8'), name: 1.0 } ], ordered: true }"
    }
})

所以要為test資料庫添加一個用戶，並以該用戶身份登錄才可以執行對該數據的操作。

> db.createUser({user:'use1',pwd:'123456',roles:["readWrite"]})
Successfully added user: { "user" : "use1", "roles" : [ "readWrite" ] }
> db.auth('use1','123456')
1
> db.blog.insert({name:1})
WriteResult({ "nInserted" : 1 })
>

至此，完成了通過賬號和密碼登錄許可權對資料庫的訪問和操作。

那麼最終標準的連接test資料庫的URI語法如下：

mongodb://use1:123456@localhost:27017/test

通過設置上述兩道關卡，媽媽再也不用擔心我的學習啦

 個人博客傳送門》》》》》