MongoDB在Ubuntu上的權限管理策略

以下是MongoDB在Ubuntu上的權限管理策略及操作步驟：

1. 安裝與基礎配置

   • 通過官方倉庫安裝MongoDB：sudo apt-get install -y mongodb-org。
   • 創建數據目錄并設置權限：sudo mkdir -p /data/db，sudo chown -R mongodb:mongodb /data/db。

2. 啟用認證與授權

   • 編輯配置文件/etc/mongod.conf，在security部分添加authorization: enabled。
   • 重啟服務生效：sudo systemctl restart mongod。

3. 創建管理員用戶

   • 連接到MongoDB：mongo，切換到admin數據庫：use admin。
   • 創建具有管理權限的用戶（如root角色）：

     db.createUser({
       user: "adminUser",
       pwd: "your_password",
       roles: [{ role: "root", db: "admin" }]
     })
     ```。  
     
     

4. 數據庫用戶權限管理

   • 在目標數據庫中創建用戶并分配角色（如readWrite、dbAdmin）：

     use myDatabase
     db.createUser({
       user: "myUser",
       pwd: "user_password",
       roles: [{ role: "readWrite", db: "myDatabase" }]
     })
     ```。  
     

   • 可通過db.grantRolesToUser()為用戶追加角色。

5. 訪問控制與安全增強

   • 限制IP訪問：在/etc/mongod.conf的net部分設置bindIp為特定IP或0.0.0.0（僅限本地）。
   • 使用防火墻（如ufw）限制端口訪問：sudo ufw allow from trusted_ip/32 port 27017。
   • 啟用SSL/TLS加密傳輸（需配置證書）。

6. 審計與維護

   • 啟用審計日志記錄用戶操作：在/etc/mongod.conf中配置auditLog。
   • 定期備份數據并更新系統及MongoDB補丁。

關鍵命令參考：

• 用戶管理：db.createUser()、db.grantRolesToUser()、db.dropUser()。
• 服務操作：sudo systemctl start/stop/restart mongod。
• 配置文件路徑：/etc/mongod.conf。

參考來源：