数据库的读写权限,包括:
read角色的所有权限
3. dbAdmin角色数据库的管理权限,包括:
4. userAdmin角色
数据库的用户管理权限
5. clusterAdmin角色
集群管理权限(副本集、分片、主从等相关管理),包括:
6. readAnyDatabase角色任何数据库的只读权限(和read相似)
7. readWriteAnyDatabase角色
任何数据库的读写权限(和readWrite相似)
8. userAdminAnyDatabase角色
任何数据库用户的管理权限(和userAdmin相似)
9. dbAdminAnyDatabase角色
任何数据库的管理权限(dbAdmin相似)
0x02 MongoDB安装注意事项
1. 安装的时候需要加--auth
加了--auth之后MongoDB才需要验证
2. 需要加--nohttpinterface
不加会有一个28017的端口监听,可以通过网页管理mongodb,不需要请去掉
3. 可以加--bind_ip
加之后可以限制访问的ip
4. 可以加--port
加了之后可以重新制定端口,默认为27017
5. 安装完之后需立即在admin数据库中添加一个用户 只有在admin数据库中添加一个用户后才能使认证生效
注:安装的过程其实就是添加1个服务,指定启动时候的参数。
0x03 用户授权
1. 2.4之前版本的用户管理方式
1.1、进入admin创建一个管理账号
1.2、进入需要使用的数据库中创建一个程序使用用户 2. 2.4版本的用户管理,也可使用之前版本的方式 2.1、进入admin创建一个管理账号 2.2、进入admin给使用的数据库test创建一个对数据库及日志拥有读写权限的账户0x04 安全配置方案
1. 安装的时候加--auth,并立即在admin数据库创建一个用户
默认情况下MongoDB是无需验证的,所以这是至关重要的一步
2. 可以考虑安装的时候修改端口和指定访问ip
具体根据实际情况来设定,也可以直接在服务器防火墙上做
3. 安装的时候建议加上--nohttpinterface取消默认的一个网页管理方式
默认的web管理一般不会用,且很多人不知道,最好关闭
4. 管理用户处理
因需要在admin中建立一个管理账户用于管理,最好是设置强密码,但是不要给其他程序使用
5. MongoDB服务运行账户
windows下可以使用network service 或者新建一个用户,使用默认的USERS组,然后添加给予数据库文件及日志存储目录的写权限,并建议取消对cmd等程序的执行权限。
linux下新建一个账户,给予程序的执行权限和数据库文件及日志目录的读写权限,并建议取消对sh等程序的执行权限。
6. 控制好网站或者其他程序使用的连接用户权限 网站或者其他程序使用的用户只给予对应库的权限,不要使用admin数据库中的管理账户。
0x05 常用命令
1. 安装
2. 添加用户 3. 显示所有数据库 4. 使用某个数据库 5. 连接数据库 6. 添加用户认证 7. 查看用户 就写几个基本的,其他的网上很多,或者用工具连上去之后操作。0x06 管理工具
1. MongoVUE
客户端形式的管理工具
2. rockmongo
基于php的web管理
不足之处求大牛指正!
