【九】MongoDB管理之安全性

要保证一个安全的MongoDB运行环境，DBA需要实施一些控制保证用户或应用程序仅仅访问它们需要的数据。这些措施包括但不限于：

• 认证机制
• 基于角色的访问控制
• 加密
• 审计

一、认证机制

认证是验证客户端用户身份的过程。开启访问控制后，MongoDB需要所有客户端认证它们自己身份以决定它们的访问权限。尽管认证和授权比较相近，但是认证是区别于授权的，认证是证明身份，授权是决定它们访问的资源和操作。

1、用户

为了认证客户端，你必须要添加一个对应的用户到MongoDB.

• 用户管理接口：db.createUser()方法可以创建一个用户，添加完成后可以分配角色给用户，第一个用户必须是管理员，用来管理其他用户。你也可以更新存在的用户，必须修改密码和权限。
• 认证数据库：当添加一个用户后，你在某个指定的数据库中添加该用户，那么这个数据库对于该用户就是个认证数据库。一个用户可以有权限访问多个数据库，通过分配角色权限来做到。
• 认证用户：为了认证用户，可以通过db.author()方法。
• 分片集群用户：为分片集群创建用户，可以通过mongos实例进行，mongodb将用户信息存储到config server的admin库中。但是有些操作需要直接连接到分片主机上进行的，这时这些用户就不行了，需要到分片主机上创建shard local管理用户

2、认证机制

1）SCRAM-SHA-1

2）MONGODB-CR

3）x.509

二、基于角色的访问控制

MongoDB默认是没有开启访问控制，你能开启通过--auth参数重启mongod服务。一旦开启了，用户连接mongod必须指定用户名和密码。

1、内建角色

MongoDB提供许多内建角色，用于不同级别的访问数据库资源。在每个数据库中都存在内建数据库用户角色和数据库管理员角色

1）数据库用户角色

每个数据库都包含以下角色：

• read：提供读权限，除了非系统集合
• readWrite：提供读写权限

2）数据库管理员角色

每个数据库都包含以下角色：

• dbAdmin：提供schema相关的操作、索引、搜集统计信息等权限，不能分配角色。
• dbOwner：这个角色包括readWrite、dbAdmin、userAdmin角色的权限
• userAdmin：提供修改和创建角色和用户的权限。由于该角色能够分配权限，包括他们自己，所以间接的提供超级用户的权限。

3）集群管理角色

• clusterAdmin：提供集群管理的最高权限，包括clusterManager、clusterMonitor、hostManager角色。此外还有删除数据库的权限
• clusterManager：能够访问config和local数据库的权限
• clusterMonitor：对于监控工具提供只读权限
• hostManager：提供监控和管理主机的权限

4）备份和恢复角色

• backup：除了system.profile集合，该角色提供足够的权限来使用MongoDB Cloud Manager、Ops Manager、mongodump等工具对所有集合进行备份。
• restore：恢复数据的权限

5）所有数据库权限

• readAnyDatabase：提供读所有数据库的权限
• readWriteAnyDatabase：同readWrite，范围是所有数据库。
• userAdminAnyDatabase：同userAdmin，范围是所有数据库
• dbAdminAnyDatabase：同dbAdmin，范围所有数据库

6）超级角色

• root：提供所有权限

7）内部角色

• __system：提供维护数据库对象的权限，一般不用分配给用户。

2、自定义角色

MongoDB提供许多内建角色，当然，如果不满足需要，你可以创建自己的角色

你可以使用db.createRole()方法创建角色，这些角色被存储在admin库的system.roles集合中。

3、基于集合级别的访问控制

基于集合级别访问控制允许DBA基于某些特定集合给用户分配权限，也就是用户只能访问某些特定的集合。

【访问级别控制实例：单机环境】

步骤一：在未启用访问级别前创建管理员用户，（如果不这样，一旦开启了访问控制，你虽然可以进入mongos，但是不具有任何增删改权限了）：

use admin
db.createUser(
  {
    user: "myUserAdmin",
    pwd: "abc123",
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

步骤二：带--auth参数重启mongod服务（即开启访问级别控制）

mongod --dbpath=/data//db --fork --logpath=/data//log/mongodb.log --port  --auth

步骤三：使用管理员登录并创建一个普通用户

[root@node1 ]# mongo --port  -u "myUserAdmin" -p "abc123" --authenticationDatabase "admin"   #使用管理员登录
use test
db.createUser(                           #在test库中创建所属用户testUser,虽然该用户属于test库，但是通过角色分配，它也可以对其他数据库有操作权限
    {
      user: "testUser",
      pwd: "",
      roles: [
         { role: "read", db: "children" },   #对children库有只读权限
         { role: "readWrite", db: "test" },  #对test库有读写权限
         { role: "readWrite", db: "HashTest" } #对HashTest库有读写权限
      ]
    }
)
#使用新用户testUser登录测试
[root@node1 ]# mongo --port  -u "testUser" -p ""
MongoDB shell version: 3.2.
connecting to: 127.0.0.1:/test
> db.user.insert({"_id":,"name":"darren"})  #向test库中插入数据，可以成功
WriteResult({ "nInserted" :  })
> use children                               #向children库中插入数据，失败，因为只有读的权限
switched to db children
> db.user.insert({"_id":,"name":"darren"})
WriteResult({
    "writeError" : {
        "code" : ,
        "errmsg" : "not authorized on children to execute command { insert: \"user\", documents: [ { _id: 1.0, name: \"darren\" } ], ordered: true }"
    }
})
> use HashTest
switched to db HashTest
> db.user.insert({"_id":1,"name":"darren"})  #向HashTest库中插入数据，成功。
WriteResult({ "nInserted" : 1 })

总结：MongoDB一个数据库需要属于一个用户，当一个相同的用户需要访问多个数据库，不需要在每个数据库中都建立同样的用户，可以建立一个专门管理用户的库，通过角色分配达到这种目的，更加容易维护和管理。

三、加密

1、传输加密

你可以用TLS/SSL来加密MongoDB的网络流量，它们能够确保网络流量仅仅被需要的客户端读取。

2、静态加密

有两种主要的方法加密静态数据：应用程序层加密和存储层加密。你可以一起用也可以单独使用一种。V3.2中为WiredTiger存储引擎引入新的加密选项，这种特性允许你加密数据文件，如此一来只有带有解密键的那部分能够解密和读取数据。详细讲解请参考官方手册。

四、审计

MongoDB企业版包括审计功能。审计功能允许管理员和用户在部署多用户和应用程序环境时跟踪系统活动。具体请查阅官方文档。

五、其他方面安全控制

1、MongoDB配置

确保禁用http状态接口，默认mongodb是禁用的。

2、网络安全

配置操作系统防火墙控制访问系统级别或者使用VPN。

1）防火墙规则（liunx）

通过指定防火墙规则，mongodb管理员可以控制哪些主机可以连接到mongodb服务器上，从而减少mongodb服务器曝光度，限制风险。

在iptables规则配置分为链，这里主要控制两个链：

• INPUT:控制所有进入者

• OUTPUT:控制所有输出

这个模式适用于所有到mongod实例的单机或者副本集成员主机，目的是只允许应用服务器连接到mongodb服务器上：

iptables -A INPUT -s <ip-address> -p tcp --destination-port  -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d <ip-address> -p tcp --source-port  -m state --state ESTABLISHED -j ACCEPT

2）VPNs

具体参考文档。