Ubuntu MongoDB權限管理實現指南
一�����、權限管理基礎:RBAC模型
MongoDB采用基于角色的訪問控制(RBAC)機制����,通過用戶���、角色�、權限的組合實現細粒度權限管理�。核心要素包括:
- 用戶:用于身份認證�����,關聯一個或多個角色�;
- 角色:定義一組權限(如讀�����、寫�����、管理數據庫等)��,分為內置角色(如
readWrite���、dbAdmin)和自定義角色�����;
- 權限:角色擁有的具體操作權限(如
find����、insert�����、update)��。
二���、準備工作:啟用認證與網絡控制
權限管理的前提是啟用認證并限制網絡訪問���,避免未授權連接����。
1. 啟用MongoDB認證
編輯MongoDB配置文件(/etc/mongod.conf)���,在security部分添加以下配置:
security:
authorization: enabled
保存后重啟MongoDB服務使配置生效:
sudo systemctl restart mongod
2. 限制網絡訪問
在/etc/mongod.conf的net部分��,設置bindIp為允許連接的IP地址(如本地127.0.0.1和特定IP192.168.1.100):
net:
bindIp: 127.0.0.1,192.168.1.100
port: 27017
重啟MongoDB服務:
sudo systemctl restart mongod
三�����、創建管理員用戶(用戶管理權限)
為管理MongoDB用戶(如創建��、修改����、刪除用戶)��,需在admin數據庫創建管理員用戶��,并分配用戶管理角色�。
1. 連接到MongoDB Shell
mongo
2. 切換到admin數據庫
use admin
3. 創建管理員用戶
例如����,創建名為adminUser的用戶���,密碼為StrongPass123�,分配userAdminAnyDatabase(管理所有數據庫用戶)和readWriteAnyDatabase(讀寫所有數據庫)角色:
db.createUser({
user: "adminUser",
pwd: "StrongPass123",
roles: ["userAdminAnyDatabase", "readWriteAnyDatabase"]
})
執行后返回Successfully added user表示創建成功���。
四�、創建普通用戶并分配權限
為特定數據庫創建普通用戶���,分配最小必要權限(遵循最小權限原則)�。
1. 切換到目標數據庫
例如���,為目標數據庫myDatabase創建用戶:
use myDatabase
2. 創建普通用戶并分配角色
例如�,創建名為myUser的用戶���,密碼為UserPass456��,分配readWrite(讀寫數據)角色:
db.createUser({
user: "myUser",
pwd: "UserPass456",
roles: [{ role: "readWrite", db: "myDatabase" }]
})
若需為用戶添加多個角色(如同時擁有readWrite和dbAdmin)�����,可使用數組:
db.createUser({
user: "myUser",
pwd: "UserPass456",
roles: [
{ role: "readWrite", db: "myDatabase" },
{ role: "dbAdmin", db: "myDatabase" }
]
})
五�����、權限驗證與修改
1. 驗證用戶權限
使用db.auth()命令驗證用戶身份及權限:
use myDatabase
db.auth("myUser", "UserPass456")
2. 修改用戶權限
若需為用戶添加或移除權限��,可使用db.grantRolesToUser()(添加)或db.revokeRolesFromUser()(移除)命令���。
例如�,為用戶myUser添加read(讀取數據)角色:
use myDatabase
db.grantRolesToUser("myUser", [{ role: "read", db: "myDatabase" }])
移除read角色:
db.revokeRolesFromUser("myUser", [{ role: "read", db: "myDatabase" }])
六��、刪除用戶
若需刪除用戶��,可使用db.dropUser()命令:
use myDatabase
db.dropUser("myUser")
執行后返回true表示刪除成功����。
七���、可選:啟用審計日志(增強安全性)
若需記錄用戶操作(如登錄���、查詢�����、修改數據)�,可啟用MongoDB審計日志功能�。
編輯/etc/mongod.conf�����,在security部分添加以下配置:
security:
auditLog:
destination: file
format: JSON
path: /var/log/mongodb/audit.json
保存后重啟MongoDB服務:
sudo systemctl restart mongod
審計日志將保存到/var/log/mongodb/audit.json�����,可用于追蹤用戶操作�����。
通過以上步驟����,可在Ubuntu上實現MongoDB的完整權限管理�����,確保數據庫訪問的安全性和可控性�����。
