2. 程式人生 > >MongoDB 用戶名密碼登錄

MongoDB 用戶名密碼登錄

阿新 發佈:2018-09-24
當前 ada 我們 密碼登錄 nsh ofo nbsp you bash

Mongodb enable authentication

MongoDB 默認直接連接,無須身份驗證,如果當前機器可以公網訪問,且不註意Mongodb 端口(默認 27017)的開放狀態,那麽Mongodb就會產生安全風險,被利用此配置漏洞,入侵數據庫。

容易遭受入侵的環境

  • 使用默認 mongod 命令啟動 Mongodb
  • 機器可以被公網訪問
  • 在公網上開放了 Mongodb 端口

安全風險

  • 數據庫隱私泄露
  • 數據庫被清空
  • 數據庫運行緩慢

解決方案

1. 禁止公網訪問 Mongodb 端口

1.1 網絡配置

由於網絡配置因人而異,需要根據自己實際環境進行配置,不作冗述。大致可以從以下方面禁止。

  • 在路由器中關閉端口轉發
  • 防火墻 iptables 禁止訪問

1.2 驗證端口能否訪問方式

在外網機器命令行中運行

telnet your.machine.open.ip 27017

2. 啟用驗證

2.1 創建用戶管理員賬戶

當前數據庫版本:Mongodb 3.4

使用 mongod 啟動數據庫
新建終端

mongod --port 27017 --dbpath /data/db1

參數默認可以不加,若有自定義參數,才要加上,下同。

另起一個終端,運行下列命令

mongo --port 27017

use admin

db.createUser(
  {
    user: "adminUser",
    pwd: "adminPass",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

管理員創建成功,現在擁有了用戶管理員
用戶名:adminUser
密碼:adminPass
然後,斷開 mongodb 連接, 關閉數據庫
兩個終端下 <C - c>

2.2 Mongodb 用戶驗證登陸

啟動帶訪問控制的 Mongodb
新建終端

mongod --auth --port 27017 --dbpath /data/db1

現在有兩種方式進行用戶身份的驗證
第一種 (類似 MySql)
客戶端連接時,指定用戶名,密碼,db名稱

mongo --port 27017 -u "adminUser" -p "adminPass" --authenticationDatabase "admin"

第二種
客戶端連接後,再進行驗證

mongo --port 27017

use admin
db.auth("adminUser", "adminPass")

// 輸出 1 表示驗證成功

2.3 創建普通用戶

過程類似創建管理員賬戶,只是 role 有所不同

use foo

db.createUser(
  {
    user: "simpleUser",
    pwd: "simplePass",
    roles: [ { role: "readWrite", db: "foo" },
             { role: "read", db: "bar" } ]
  }
)

現在我們有了一個普通用戶
用戶名:simpleUser
密碼:simplePass
權限:讀寫數據庫 foo, 只讀數據庫 bar。

註意
NOTE
WARN
use foo表示用戶在 foo 庫中創建,就一定要 foo 庫驗證身份,即用戶的信息跟隨隨數據庫。比如上述 simpleUser 雖然有 bar 庫的讀取權限,但是一定要先在 foo 庫進行身份驗證,直接訪問會提示驗證失敗。

use foo
db.auth("simpleUser", "simplePass")

use bar
show collections

還有一點需要註意,如果 admin 庫沒有任何用戶的話,即使在其他數據庫中創建了用戶,啟用身份驗證,默認的連接方式依然會有超級權限

2.4 內建角色

  • Read:允許用戶讀取指定數據庫
  • readWrite:允許用戶讀寫指定數據庫
  • dbAdmin:允許用戶在指定數據庫中執行管理函數,如索引創建、刪除,查看統計或訪問system.profile
  • userAdmin:允許用戶向system.users集合寫入,可以找指定數據庫裏創建、刪除和管理用戶
  • clusterAdmin:只在admin數據庫中可用,賦予用戶所有分片和復制集相關函數的管理權限。
  • readAnyDatabase:只在admin數據庫中可用,賦予用戶所有數據庫的讀權限
  • readWriteAnyDatabase:只在admin數據庫中可用,賦予用戶所有數據庫的讀寫權限
  • userAdminAnyDatabase:只在admin數據庫中可用,賦予用戶所有數據庫的userAdmin權限
  • dbAdminAnyDatabase:只在admin數據庫中可用,賦予用戶所有數據庫的dbAdmin權限。
  • root:只在admin數據庫中可用。超級賬號,超級權限

2.5 URI 形式的訪問

生產中常用 URI 形式對數據庫進行連接

mongodb://your.db.ip.address:27017/foo

添加用戶名密碼驗證

mongodb://simpleUser:[email protected]:27017/foo

參考鏈接

  • Enable Authentication
  • Build-in Roles
  • Mongodb 3.0 用戶創建
  • Mongodb Authentication

結語

在使用數據庫的過程中,一定要註意安全風險,由於 Mongodb 的默認配置,使得數據庫有入侵風險,應該予以防範。



作者:kimoCHG
鏈接:https://www.jianshu.com/p/79caa1cc49a5
來源:簡書
簡書著作權歸作者所有,任何形式的轉載都請聯系作者獲得授權並註明出處。

MongoDB 用戶名密碼登錄

相關推薦

關於spring-data-mongodb戶名密碼報錯問題:Failed to authenticate to database

數據 base 設置 thread read ber ram tro pat 一.問題   1.spring-data-mongodb用戶名密碼登錄報錯問題:Failed to authenticate to database org.springframew

MongoDB 戶名密碼

當前 ada 我們 密碼登錄 nsh ofo nbsp you bash Mongodb enable authentication MongoDB 默認直接連接,無須身份驗證,如果當前機器可以公網訪問,且不註意Mongodb 端口(默認 27017)

Spring Security之戶名+密碼

查找 prot value MLOG odi 時間 lte iss ada 自定義用戶認證邏輯 處理用戶信息獲取邏輯 實現UserDetailsService接口 @Service public class MyUserDetailsService implements U

SpringSecurity實現戶名密碼(Token)

實現 應用服務器 ken src 瀏覽器 傳統 前後端 密碼登錄 服務器    傳統的應用是將Session放在應用服務器上,而將生成的JSESSIONID放在用戶瀏覽器的Cookie中,而這種模式在前後端分離中就會出現以下問題     1,開發繁瑣。     2,安

Linux采密碼服務器

author 退出 重要 keys zed 密碼 name 默認 log 主要思想:利用ssh-keygen生成rsa密鑰對,具體有兩種方式 一. 由客戶機生成密鑰對,將對應的“鎖”給服務器(登錄目標) 1. 客戶機生成密鑰對,生成密鑰對默認路徑~/.ssh,提示輸入密鑰對

Laravel實現戶名密碼

字符串 變量 div style 函數 blog var use 登錄 要實現用戶名或密碼登錄,這就要用到強大的filter_var函數該函數通過指定的過濾器過濾變量,可以判斷輸入值是否是數字、是否是字符串、是否是郵箱、是否是IP等等,不用寫麻煩的正則 $type = f

OpenVPN 秘鑰+戶名密碼雙重驗證

openvpn 秘鑰 用戶名 OpenVPN 秘鑰+用戶名密碼雙重驗證登錄 為什麽需要用戶名密碼驗證登錄我們已經使用了CA證書、迪菲赫爾曼交換密鑰、TLS-auth密鑰這幾種方式進行加密了,可以說已經很安全了,為什麽還要需要用戶名秘密呢,一個VPN而已,搞得這麽安全有什麽用呢。首先安全還是很重要的

oracle之戶名密碼包含特殊字符時候怎麽使用sqlplus

oracle ima sqlplus bsp 用戶 引號 使用 ora 技術分享 oracle有時候用戶密碼包含一些特殊字符直接登錄會報錯,需要使用以下方式登錄sqlplus sqlplus ‘username/"password"‘ PS:整體使用單引號括起來,

不輸入戶名密碼通過跳板機到線上linux機器

輸出 函數 獲取 我們 訪問 接收 req require 多個 問題: 一般情況下,公司所有的服務器都在內網,公網訪問、管理服務器都要先通過登錄一臺跳板機,然後再由跳板機登錄到相應的服務器進行操作,跳板機與服務器的連接都是內網地址。我們經常看到的現象就是下圖這樣,每次都要

編寫接口 輸入戶名密碼 認證成功後顯示歡迎信息 輸錯三次後鎖定

登錄接口 else password 檢查 lease ase actual you In 練習題目: 編寫登錄接口輸入用戶名密碼認證成功後顯示歡迎信息輸錯三次後鎖定代碼: name_actual = "phka"password_actual = "123"name =

訪問sharepoint站點自動使用當前戶名密碼

用戶名 share 自動 details targe bsp tps get 使用 https://blog.csdn.net/zw_2011/article/details/7417123 1.把sharepoint站點添入可信站點。 點擊菜單欄“工具”——〉“Int

openssh 免戶名/密碼/服務器地址,遠程服務器

服務 本地配置 config 密碼 keys span cal con 生成 原理 在 local 本地創建一對公、私鑰,將公鑰放到 remote 遠程服務器,local 本地保存私鑰; 遠程登錄時,拿本地的私鑰加密,遠程服務器拿公鑰解密。 在本地創

戶名密碼註冊與的應用

小夥伴 void java 什麽 image color com .net near 一、本博客介紹的是登錄界面的一些操作其中包括界面跳轉,輸入用戶名密碼註冊登錄等功能。1、界面的設計 <?xml version="1.0" encoding="utf-8"?>

mongodb 備份 指定戶名密碼

snap nes red mongodb hat sage set content setname 正確備份語句: mongodump -h 172.27.137.26:36137 -d ssdb -o f:\data\ssdb170505 -u=administrat

Exchange-批量取消戶下次時必須更改密碼

取消用戶下次登錄時必須更改密碼最近在做Exchange跨域遷移的項目,做完AD帳號及郵箱的遷移操作後,新域上帳戶裏的“用戶下次登錄時必須更改密碼”選項是選中的。此時我們需要把這個項批量取消掉。批量取消表裏的用戶註:ChangePassword.txt表中只包含用戶名的列Import-Module Active

簡單的戶註冊||修改密碼|郵箱激活 |Django

action org 個數 建表 結構 sel cts post ret # =====> 用戶註冊與登錄|找回密碼 1.頁面沒有邏輯操作 from django.views.generic import TemplateView urlpatter

ssh采expect實現自動輸入密碼、拷貝

cep .html tro from 效果 方式 目標 led 交互 1. 引言 最近做了一個項目,需要頻繁與另一臺主機進行文件的傳輸;中間想到了很多方式:FTP、samba、curl等,但是還是感覺scp最好用。 SCP使用教程可參閱:http://www.jb51.

Oracle11g 默認戶帳號和密碼 解鎖戶 plsql

sysdba 以及 localhost lock user 不能 all unlock ron 近日在嘗試在本地電腦安裝Oracle,把遇到的問題以及解決過程中使用的資料分享給一下。 數據庫為Oracle 11g ------------------------------

Vue(vue+node.js+mongodb)_註冊(密碼

export rec keys ring vuex err 技術分享 resp 內容 一、前言 1、密碼登錄(分析) 2、驗證

ssh 免密碼linux

b- linux gen ssh 免密碼登錄 生成 ssh-key style key 免密碼登錄 就兩步,take it easy! step1. 在A-PC生成公鑰和密鑰對 ssh-keygen -t rsa step2. 將A-PC公鑰上傳至B-PC ssh-c