在上文中,我們了解了教你如何利用MySQL學習MongoDB之SQL語法,本文中我們繼續我們的學習之旅,學習兩者的授權和權限。
數據庫的安全性是每一個DBA重點關注的部分,在數據庫建立之後,數據的安全就顯得尤為重要。
對於一個數據庫管理員來說,安全性就意味著他必須保證那些具有特殊數據訪問權限的用戶能夠登錄到數據庫服務器,並且能夠訪問數據以及對數據庫對象實施各種權限范圍內的操作;同時,DBA還要防止所有的非授權用戶的非法操作。
1、MySQL授權和權限
MySQL中有兩種級別的權限:管理和用戶。所有權限都可分別使用 GRANT 和 REVOKE 語句授予和收回。可以授予用戶create、select、update、delete、insert、execute、index 等權限,也可授予alter、drop和shutdown等系統權限。根用戶root在默認情況下具有所有權限。
2、MongoDB授權和權限
官方文檔開啟MongoDB 服務時不添加任何參數時,可以對數據庫任意操作,而且可以遠程訪問數據庫,所以推薦只是在開發是才這樣不設置任何參數。如果啟動的時候指定--auth參數,可以從阻止根層面上的訪問和連接
(1)、只允許某ip訪問
mongod --bind_ip 127.0.0.1
(2)、指定服務端口
mongod --bind_ip 127.0.0.1 --port27888
(3)、添加用戶認證
mongod --bind_ip 127.0.0.1 --port27888 –auth
(4)、添加用戶
在剛安裝完畢的時候MongoDB都默認有一個admin數據庫,而admin.system.users中將會保存比在其它數據庫中設置的用戶權限更大的用戶信息。
當admin.system.users中一個用戶都沒有時,即使mongod啟動時添加了--auth參數,如果沒有在admin數據庫中添加用戶,此時不進行任何認證還是可以做任何操作,直到在admin.system.users中添加了一個用戶。
下面分別創建兩個用戶, 在foo中創建用戶名為user1密碼為pwd1的用戶,如下:
- [root@localhost bin]# ./mongo --port 27888
- MongoDB shell version: 1.8.1
- connecting to: test
- > use foo
- switched to db foo
- > db.addUser("user1","pwd1")
- {
- "user" : "user1",
- "readOnly" : false,
- "pwd" : "35263c100eea1512cf3c3ed83789d5e4"
- }
在admin中創建用戶名為root密碼為pwd2的用戶,如下:
- > use admin
- switched to db admin
- > db.addUser("root", "pwd2")
- {
- "_id" : ObjectId("4f8a87bce495a88dad4613ad"),
- "user" : "root",
- "readOnly" : false,
- "pwd" : "20919e9a557a9687c8016e314f07df42"
- }
- > db.auth("root", "pwd2")
- 1
- >
如果認證成功會顯示1, 用以下命令可以查看特定的數據庫的用戶信息:
- > use admin
- switched to db admin
- > db.system.users.find();
- { "_id" : ObjectId("4f8a87bce495a88dad4613ad"), "user" : "root", "readOnly" : false, "pwd" : "20919e9a557a9687c8016e314f07df42" }
- > use foo
- switched to db foo
- > db.system.users.find();
- { "_id" : ObjectId("4f92966d77aeb2b2e730c1bb"), "user" : "user1", "readOnly" : false, "pwd" : "35263c100eea1512cf3c3ed83789d5e4" }
- >
下面我們試驗一下用戶的權限設置是否正確:
- [root@localhost bin]# ./mongo --port 27888
- MongoDB shell version: 1.8.1
- connecting to: 127.0.0.1:27888/test
- > use foo
- switched to db foo
- > db.system.users.find();
- error: {
- "$err" : "unauthorized db:foo lock type:-1 client:127.0.0.1",
- "code" : 10057
- }
- > use admin
- switched to db admin
- > db.system.users.find();
- error: {
- "$err" : "unauthorized db:admin lock type:-1 client:127.0.0.1",
- "code" : 10057
- }
- >
通知以上實驗結果,說明登錄時不指定用戶名和口令時會報錯,也就是說安全性的部署生效了。下面我再看一下另一個場景:
- [root@localhost bin]# ./mongo --port 27888 -uroot -ppwd2
- MongoDB shell version: 1.8.1
- connecting to: 127.0.0.1:27888/test
- Sat Apr 21 19:23:15 uncaught exception: login failed
- exception: login failed
奇怪了,我們明明指定了用戶名而且口令也沒有錯呀,這時我們看一下系統日志上是否有一些有價值的信息:
auth: couldn't find user root, test.system.users
哦,原來是這樣,說明連接mongodb時,如果不指定庫名,那麼會自動連接到test庫,但剛才我們新建的用戶,都不是在test庫上建立的,所以我們需要顯示指定需要連接的庫名:
- [root@localhost bin]# ./mongo --port 27888 admin -uroot -ppwd2
- MongoDB shell version: 1.8.1
- connecting to: 127.0.0.1:27888/admin
- > show collections;
- system.indexes
- system.users
- > use foo
- switched to db foo
- > show collections
- system.indexes
- system.users
- t1
- >
可以看到root這個用戶有所有庫的操作權限, 那麼user1這個用戶有什麼權限呢?我們一試便知:
- [root@localhost bin]# ./mongo --port 27888 foo -uuser1 -ppwd1
- MongoDB shell version: 1.8.1
- connecting to: 127.0.0.1:27888/foo
- > show collections;
- system.indexes
- system.users
- t1
- > use test
- switched to db test
- > show collections
- Sat Apr 21 19:28:25 uncaught exception: error: {
- "$err" : "unauthorized db:test lock type:-1 client:127.0.0.1",
- "code" : 10057
- }
- >
通過結果我們看到, 由於user1是在foo庫裡建立的用戶,所以它不具有操作其它數據庫,甚至是test庫的權限。
