MongoDB是一款基于分布式文件存儲的開源數(shù)據(jù)庫。它是一個非常流行的NoSQL 數(shù)據(jù)庫，能夠以文檔型存儲提供高性能、高可用性和理想的擴展性，使得它可以有效地處理大型數(shù)據(jù)量，并且可以快速響應(yīng)應(yīng)付瞬態(tài)流量高峰。

在日常運維過程中，對 MongoDB 的用戶管理一直是安全控制的關(guān)鍵環(huán)節(jié)，用戶的管理會影響數(shù)據(jù)的安全性和被惡意操作的可能性。本文就介紹 MongoDB 用戶管理實踐，目的是讓它更安全可控。

1. 初始化用戶

首先，為了保證 MongoDB 用戶管理安全可控，需要先設(shè)立一個管理員賬號，作為管理用戶，其他業(yè)務(wù)賬號都在這個管理賬號的管理下。啟動 MongoDB 的時候，指定用戶名和密碼，最好是通過參數(shù)來配置。如果在 admin 數(shù)據(jù)庫中未部署過管理員用戶，則服務(wù)器啟動后會自動創(chuàng)建一個管理員賬號，新用戶有完全的讀寫訪問權(quán)限，主機名為 localhost，用戶名和密碼都由 MongoDB 自動生成。

例：

use admin

db.createUser( {

user: “admin”,

pwd: “password”,

roles: [

{ role : “userAdminAnyDatabase”, db: “admin” }

]

} )

2. 使用角色管理權(quán)限

MongoDB 支持角色管理，可以通過角色來給用戶設(shè)置針對某些資源的操作權(quán)限。MongoDB 本身提供了很多系統(tǒng)角色，可以讓用戶擁有一定范圍內(nèi)的權(quán)限。比如，可以為某用戶設(shè)置 read 的角色，只能讀取，不能修改和添加數(shù)據(jù)。或者為某用戶設(shè)置 readWrite 的角色，可以讀取和修改數(shù)據(jù)。

例：

use admin

db.createUser( {

user: “reader”,

pwd: “readerPwd”,

roles: [

{ role : “read” , db: “admin” }

]

} )

3. 設(shè)置IP地址限制

除了設(shè)置用戶的角色之外，還可以針對用戶的IP地址設(shè)置限制，以限制用戶的操作范圍，以免不必要的操作導(dǎo)致安全風(fēng)險。MongoDB可以指定ip地址，使用該ip地址來登錄用戶，并進行操作，從而限制用戶的操作范圍。

例：

use admin

db.createUser( {

user: “reader”,

pwd: “readerPwd”,

roles: [

{ role : “read” ,db: “admin” },

],

“passwordDigestor” : “server” ,

“mechanisms” : [“SCRAM-SHA-1”],

“otherDBRoles” :{ “security”: [“read”]

},

“whitelisting”:{

“aclsource.example.domain”: [

“xx.xx.xx.xx”

]

}

} )

總結(jié)：MongoDB 用戶管理是運維中必不可少的部分，只有安全可控以及嚴格的限制，才能保證 MongoDB 的安全性。通過初始化用戶，嚴格使用角色管理權(quán)限和設(shè)置IP地址限制，可以保證 MongoDB 管理安全可控，精簡運維過程。