MongoDB安全及身份認證

前面的話

　　本文將詳細介紹MongoDB安全相關的內容

概述

　　MongoDB安全主要包括以下4個方面

　　1、物理隔離

　　系統不論設計的多麼完善，在實施過程中，總會存在一些漏洞。如果能夠把不安全的使用方與MongoDB資料庫做物理上的隔離，即通過任何手段都不能連接到資料庫，這是最安全的防護。但，通常這是不現實的。一些重要的數據可能會保存下來，放置到物理隔離的機房中

　　2、網路隔離

　　許多公司的開發機處於內網環境中。即使資料庫存在漏洞，外部環境也沒有機會利用，因為根本無法訪問內網

　　3、防火牆隔離

　　可以利用防火牆配置IP白名單，只允許某些IP訪問資料庫，也可以從一定程度上增加MongoDB的安全性

　　4、用戶名密碼鑒權

　　相對於以上3種方式，用戶名密碼鑒權機制是最常見的MongoDB安全措施。如果密碼設置的比較簡單，或者連接環境不是加密環境，很可能被第三方獲取到用戶名和密碼，從而造成MongoDB資料庫的危險

許可權認證

　　mongodb存儲所有的用戶信息在admin資料庫的集合system.users中，保存用戶名、密碼和資料庫信息。mongodb預設不啟用許可權認證，只要能連接到該伺服器，就可連接到mongod。若要啟用安全認證，需要更改配置文件參數authorization，也可以簡寫為auth。

　　然後，重啟mongod。查看日誌文件，發現許可權認證已經開啟

　　但是，不使用用戶名和密碼依然可以連接到資料庫。這是因為，我們還沒有創建用戶。在用戶創建，並且開啟許可權認證之後，如果不使用用戶名和密碼將不能夠連接到資料庫

角色管理

　　在進行用戶管理之前，首先要先瞭解角色管理

　　MongoDB支持基於角色的訪問控制（RBAC）來管理對MongoDB系統的訪問。一個用戶可以被授權一個或者多個:ref:角色 <roles> 以決定該用戶對資料庫資源和操作的訪問許可權。在許可權以外，用戶是無法訪問系統的

　　資料庫角色在創建用戶中的role參數中設置。角色分為內建角色和自定義角色

【內建角色】

　　MongoDB內建角色包括以下幾類

　　1、資料庫用戶角色

read：允許用戶讀取指定資料庫
readWrite：允許用戶讀寫指定資料庫

　　2、資料庫管理員角色

dbAdmin：允許用戶進行索引創建、刪除，查看統計或訪問system.profile，但沒有角色和用戶管理的許可權
userAdmin：提供了在當前資料庫中創建和修改角色和用戶的能力
dbOwner： 提供對資料庫執行任何管理操作的能力。這個角色組合了readWrite、dbAdmin和userAdmin角色授予的特權。

　　3、集群管理角色

clusterAdmin ： 提供最強大的集群管理訪問。組合clusterManager、clusterMonitor和hostManager角色的能力。還提供了dropDatabase操作
clusterManager ： 在集群上提供管理和監視操作。可以訪問配置和本地資料庫，這些資料庫分別用於分片和複製
clusterMonitor ： 提供對監控工具的只讀訪問，例如MongoDB雲管理器和Ops管理器監控代理。
hostManager ： 提供監視和管理伺服器的能力。

　　4、備份恢復角色

backup ： 提供備份數據所需的能力，使用MongoDB雲管理器備份代理、Ops管理器備份代理或使用mongodump
restore ： 提供使用mongorestore恢複數據所需的能力

　　5、所有資料庫角色

readAnyDatabase：只在admin資料庫中可用，賦予用戶所有資料庫的讀許可權 
readWriteAnyDatabase：只在admin資料庫中可用，賦予用戶所有資料庫的讀寫許可權 
userAdminAnyDatabase：只在admin資料庫中可用，賦予用戶所有資料庫的userAdmin許可權 
dbAdminAnyDatabase：只在admin資料庫中可用，賦予用戶所有資料庫的dbAdmin許可權。 

　　6、超級用戶角色

root：提供對readWriteAnyDatabase、dbAdminAnyDatabase、userAdminAnyDatabase、clusterAdmin、restore和backup的所有資源的訪問

　　7、內部角色

__system : 提供對資料庫中任何對象的任何操作的特權

【自定義角色】

　　除了使用內建的角色之外，MongoDB還支持使用db.createRole()方法來自定義角色

　　[註意]只能在admin資料庫中創建角色，否則會失敗

　　role: 自定義角色的名稱

　　privileges: 許可權操作　

　　roles：繼承的角色。如果沒有繼承的角色，可以設置為空數組　　

use admin
db.createRole(
   {
     role: "myClusterwideAdmin",
     privileges: [
       { resource: { cluster: true }, actions: [ "addShard" ] },
       { resource: { db: "config", collection: "" }, actions: [ "find", "update", "insert", "remove" ] },
       { resource: { db: "users", collection: "usersCollection" }, actions: [ "update", "insert", "remove" ] },
       { resource: { db: "", collection: "" }, actions: [ "find" ] }
     ],
     roles: [
       { role: "read", db: "admin" }
     ]
   },
   { w: "majority" , wtimeout: 5000 }
)

用戶管理

【創建用戶】

　　使用createUser命令來創建用戶

　　user: 用戶名  pwd: 密碼

　　customData: 對用戶名密碼的說明(可選項)

　　roles: {role:繼承自什麼角色類型，db:資料庫名稱}

db.createUser({user: "...",pwd: "...",customDate:"...",roles:[{role: "...",db: "..."}]})

　　1、創建管理員用戶

　　MongoDB沒有預設管理員賬號，所以要先添加管理員賬號。切換到admin資料庫，添加的賬號才是管理員賬號

　　在admin資料庫中，添加一個用戶並賦予userAdminAnyDatabase角色

db.createUser({user: "admin",pwd: "123456",roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]})

 　　2、重新登錄資料庫，並驗證許可權

　　如果auth()方法返回0則代表授權失敗，返回1代表授權成功

db.auth()

　　3、添加普通用戶

　　一旦經過認證的用戶管理員，可以使用db.createUser()去創建額外的用戶。 可以分配mongodb內置的角色或用戶自定義的角色給用戶

　　[註意]需要在admin資料庫下進行認證，否則認證不成功

　　由於該用戶只有讀許可權，所以會寫入數據失敗

　　4、創建超級用戶

【查看用戶】

db.system.users.find()

【刪除用戶】

db.dropUser()

【添加用戶許可權】

db.grantRolesToUser()

　　給在db1資料庫中只讀的x用戶，添加寫許可權

【修改密碼】

db.changeUserPassword()