MongoDB是一款基于分布式文件存儲(chǔ)的開(kāi)源數(shù)據(jù)庫(kù)。它是一個(gè)非常流行的NoSQL 數(shù)據(jù)庫(kù)，能夠以文檔型存儲(chǔ)提供高性能、高可用性和理想的擴(kuò)展性，使得它可以有效地處理大型數(shù)據(jù)量，并且可以快速響應(yīng)應(yīng)付瞬態(tài)流量高峰。

在日常運(yùn)維過(guò)程中，對(duì) MongoDB 的用戶管理一直是安全控制的關(guān)鍵環(huán)節(jié)，用戶的管理會(huì)影響數(shù)據(jù)的安全性和被惡意操作的可能性。本文就介紹 MongoDB 用戶管理實(shí)踐，目的是讓它更安全可控。

1. 初始化用戶

首先，為了保證 MongoDB 用戶管理安全可控，需要先設(shè)立一個(gè)管理員賬號(hào)，作為管理用戶，其他業(yè)務(wù)賬號(hào)都在這個(gè)管理賬號(hào)的管理下。啟動(dòng) MongoDB 的時(shí)候，指定用戶名和密碼，最好是通過(guò)參數(shù)來(lái)配置。如果在 admin 數(shù)據(jù)庫(kù)中未部署過(guò)管理員用戶，則服務(wù)器啟動(dòng)后會(huì)自動(dòng)創(chuàng)建一個(gè)管理員賬號(hào)，新用戶有完全的讀寫(xiě)訪問(wèn)權(quán)限，主機(jī)名為 localhost，用戶名和密碼都由 MongoDB 自動(dòng)生成。

例：

use admin

db.createUser( {

user: “admin”,

pwd: “password”,

roles: [

{ role : “userAdminAnyDatabase”, db: “admin” }

]

} )

2. 使用角色管理權(quán)限

MongoDB 支持角色管理，可以通過(guò)角色來(lái)給用戶設(shè)置針對(duì)某些資源的操作權(quán)限。MongoDB 本身提供了很多系統(tǒng)角色，可以讓用戶擁有一定范圍內(nèi)的權(quán)限。比如，可以為某用戶設(shè)置 read 的角色，只能讀取，不能修改和添加數(shù)據(jù)。或者為某用戶設(shè)置 readWrite 的角色，可以讀取和修改數(shù)據(jù)。

例：

use admin

db.createUser( {

user: “reader”,

pwd: “readerPwd”,

roles: [

{ role : “read” , db: “admin” }

]

} )

3. 設(shè)置IP地址限制

除了設(shè)置用戶的角色之外，還可以針對(duì)用戶的IP地址設(shè)置限制，以限制用戶的操作范圍，以免不必要的操作導(dǎo)致安全風(fēng)險(xiǎn)。MongoDB可以指定ip地址，使用該ip地址來(lái)登錄用戶，并進(jìn)行操作，從而限制用戶的操作范圍。

例：

use admin

db.createUser( {

user: “reader”,

pwd: “readerPwd”,

roles: [

{ role : “read” ,db: “admin” },

],

“passwordDigestor” : “server” ,

“mechanisms” : [“SCRAM-SHA-1”],

“otherDBRoles” :{ “security”: [“read”]

},

“whitelisting”:{

“aclsource.example.domain”: [

“xx.xx.xx.xx”

]

}

} )

總結(jié)：MongoDB 用戶管理是運(yùn)維中必不可少的部分，只有安全可控以及嚴(yán)格的限制，才能保證 MongoDB 的安全性。通過(guò)初始化用戶，嚴(yán)格使用角色管理權(quán)限和設(shè)置IP地址限制，可以保證 MongoDB 管理安全可控，精簡(jiǎn)運(yùn)維過(guò)程。