• 1
  • 2
  • 3
  • 4
  • 5
mysql数据库问题 首 页  »  帮助中心  »  数据库  »  mysql数据库问题
限制MongoDB内网访问的方法
发布日期:2016-4-15 13:4:53

  限制MongoDB内网访问的方法

  我的博客用到了MongoDB作为数据存储,服务器用的是阿里云的,今天阿里云突然给我发信息说我的MongoDB数据库没有设置用户名密码,我在自己的电脑上试着登陆了一下mongo client,直接连上了。。。。好吧,我只有赶紧设置一下去.


          图1

  首先查看了一下MongoDB的文档,发现mongodb在启动服务后,在默认情况下,是允许所有IP访问的,而且没有密码。也就是说,在任何电脑上,通过下面的命令都是可以直接连接我的MongoDB的:

  1 mongo 115.28.143.213

  好吧,从这么看来,这真的好危险,幸亏我的DB中没有什么隐私的数据。。于是我赶紧在网上搜索了一下MongoDB限制访问的方法,总结来说大概有以下三种方法:

  1.限制访问IP与端口

  MongoDB可以限制只允许某一特定IP来访问,只要在启动时加一个参数bind_ip,或者在/etc/mongodb.conf中添加bind_ip配置,如图2所示:


                              图2

  这样之后,MongoDB服务端只有127.0.0.1和10.0.133.14这两个 IP 可以访问了。

  MongoDB默认的监听端口是27017,为了安全起见,你可以修改这个监听端口,避免恶意的连接尝试。修改方法同样有两种,如图3所示的代码:


                       图3

  客户端访问时不指定端口会连接到默认端口27017。当你修改了MongoDB服务端的端口后,客户端连接MongoDB时需要指定端口号,如:

  1 mongo 10.0.133.14:28018

  2.设置用户名与密码

  MongoDB在默认的情况下启动时是没有用户名和密码的验证的,如果你需要使用密码验证功能,可以通过下面两种方式打开:


                                      图4

  MongoDB中的用户分为超级用户(super user)与普通的数据库用户(database user):

  •    超级用户存放在admin数据库中(在MongoDB的初始情况下,admin数据库默认是空的),这种用户拥有最大权限,可以对所有数据库进行任意操作;
  •    数据库用户则是存放在另外的数据库中,这种用户只能访问自己的数据库。所有的用户信息都存放在自己数据库的system.users表中。

   在MongoDB中创建用户非常简单,图5所示:


                       图5

  图5所示的创建方式是基于MongoDB 2.4.x版本,最新版的2.6.x中创建用户的方法会有所不同,具体的方法请参见MongoDB官方文档:add mongodb user

  在MongoDB中,用户和权限有以下几个特性:

  •   数据库是由超级用户来创建的,一个数据库可以包含多个用户,一个用户只能在一个数据库下,不同数据库中的用户可以同名;
  •   如果在 admin 数据库中不存在用户,即使 mongod 启动时添加了 --auth参数,此时不进行任何认证还是可以做任何操作;
  •   在 admin 数据库创建的用户具有超级权限,可以对 MongoDB 系统内的任何数据库的数据对象进行操作;
  •   特定数据库比如 test1 下的用户 test_user1,不能够访问其他数据库 test2,但是可以访问本数据库下其他用户创建的数据;
  •   不同数据库中同名的用户不能够登录其他数据库。比如数据库 test1 和 test2 都有用户 test_user,以 test_user 登录 test1 后,不能够登录到 test2 进行数据库操作

  3.使用Linux IPtables限制IP范围

  这种方法和MongoDB本身没有关系,而是借用Linux的iptables功能,限制允许访问MongoDB端口的IP地址,具体的做法如图6所示:


                  图6

  OK,这样就只允许通过本地访问MongoDB服务了。

  参考:Configure Linux iptables Firewall for MongoDB

  MongoDB 用户和身份验证

  mongoDB之用户及权限设置

    以后还会更新mysql的内容,关注mysql的朋友敬请期待。