MongoDB安全性实践:认证、授权与加密

梦想实践者 2019-06-03 ⋅ 24 阅读

MongoDB Security

简介

在现代软件开发中,数据安全和隐私保护是非常重要的议题。MongoDB是一种常用的开源NoSQL数据库,但它的默认配置可能存在一些安全风险。因此,为了确保数据的安全性,我们需要进行适当的认证、授权和加密配置。本文将介绍一些MongoDB的安全实践。

认证

默认情况下,MongoDB没有启用认证功能,这意味着任何人都可以连接到数据库并执行操作。为了增加安全性,我们应该启用认证功能并设置用户名和密码。

创建管理员用户

首先,我们需要创建一个具有管理员权限的用户。在Mongo shell中执行以下命令:

use admin
db.createUser({
  user: "admin",
  pwd: "password",
  roles: ["root"]
})

这将创建一个名为admin的用户,密码为password,并赋予其root角色。

启用认证

在MongoDB的配置文件(通常为/etc/mongod.conf)中,将security.authorization设置为enabled并重启MongoDB服务。

security:
  authorization: enabled

创建其他用户

现在我们可以创建其他具有不同角色和权限的用户。例如,我们可以创建一个只读用户以及一个具有读写权限的普通用户。

use admin
db.createUser({
  user: "readonly",
  pwd: "password",
  roles: ["read"]
})

use mydatabase
db.createUser({
  user: "user",
  pwd: "password",
  roles: ["readWrite"]
})

通过认证登录

现在,只有通过认证的用户才能访问数据库。在命令行中,使用以下命令进行认证登录:

mongo -u admin -p password --authenticationDatabase admin

授权

认证确保了用户具有有效的凭据访问MongoDB,但我们仍然需要授权用户在数据库上执行特定操作。MongoDB使用基于角色的访问控制(Role-Based Access Control,RBAC)来管理用户权限。

内置角色

MongoDB提供了一些内置的角色,可以为用户分配这些角色以控制其权限。例如,以下是一些常用的内置角色:

  • read:只能读取数据库的权限。
  • readWrite:读取和写入数据库的权限。
  • dbAdmin:管理数据库的权限。
  • userAdmin:管理用户的权限。

分配角色

我们可以使用db.grantRolesToUser()方法将角色分配给用户。例如,以下命令将为用户user赋予readWrite角色。

use mydatabase
db.grantRolesToUser("user", [{ role: "readWrite", db: "mydatabase" }])

更细粒度的控制

如果我们需要更细粒度的控制,可以创建自定义角色并将其分配给用户。例如,我们可以创建一个只允许用户对mycollection进行读取和写入的自定义角色。

use mydatabase
db.createRole({
  role: "customRole",
  privileges: [
    { resource: { db: "mydatabase", collection: "mycollection" }, actions: ["find", "insert", "update"] }
  ],
  roles: []
})

db.grantRolesToUser("user", ["customRole"])

这将创建一个名为customRole的自定义角色,并将其分配给用户user

加密

除了认证和授权外,我们还可以通过加密保护MongoDB中的数据。MongoDB支持数据传输加密和数据加密两种加密方式。

数据传输加密

MongoDB使用TLS/SSL协议来保护数据在传输过程中的安全性。要启用数据传输加密,我们需要为MongoDB配置一个TLS/SSL证书。

首先,生成一个自签名的证书:

openssl rand -out mongodb-keyfile 756
openssl req -newkey rsa:2048 -new -x509 -days 365 -nodes -out mongodb-cert.crt -keyout mongodb-cert.key

然后,在MongoDB的配置文件中添加以下配置:

net:
  ssl:
    mode: requireSSL
    PEMKeyFile: /path/to/mongodb-cert.key
    CAFile: /path/to/mongodb-cert.crt

最后,重启MongoDB服务以使更改生效。

数据加密

MongoDB还支持对数据进行加密保护。可以使用字段级加密或全文档加密来保护敏感数据。

字段级加密

字段级加密允许我们选择性地对特定字段进行加密。要使用字段级加密,我们需要定义一个加密机制,并将其配置为MongoDB的一部分。

首先,创建一个加密机制:

db.getMongo().getDB("admin").runCommand({
  createDataKey: "myEncryptionKey",
  keyAltNames: ["myMasterKey"]
})

然后,我们可以为指定的字段创建加密规则:

db.getMongo().getDB("mydatabase").runCommand({
  collMod: "<collectionName>",
  validator: {
    $jsonSchema: {
      bsonType: "object",
      properties: {
        "<fieldName>": {
          encrypt: {
            keyId: "<encryptionKeyId>",
            algorithm: "AEAD_AES_256_CBC_HMAC_SHA_512-Deterministic"
          }
        }
      }
    }
  }
})

全文档加密

全文档加密可以保护整个文档,即对整个文档进行加密和解密。要启用全文档加密,我们需要定义一个加密机制,并将其配置为MongoDB的一部分。

首先,创建一个加密机制:

db.getMongo().getDB("admin").runCommand({
  createDataKey: "myEncryptionKey",
  keyAltNames: ["myMasterKey"]
})

然后,我们可以为指定的集合启用全文档加密:

db.getMongo().getDB("mydatabase").runCommand({
  collMod: "<collectionName>",
  encryptMetadata: {
    keyId: "<encryptionKeyId>",
    algorithm: "AEAD_AES_256_CBC_HMAC_SHA_512-Deterministic"
  }
})

结论

MongoDB是一个非常灵活和强大的数据库,但默认配置可能存在安全风险。通过启用认证、授权和加密功能,我们可以提高MongoDB的安全性,保护数据免受未经授权访问或泄露的风险。在实际应用中,我们应该根据实际需要选择适当的安全配置,并定期检查和更新安全策略,以确保数据库的安全性。

以上就是MongoDB安全性实践的一些内容,希望对您有所帮助。

参考资料:


本文来自极简博客,作者:梦想实践者,转载请注明原文链接:MongoDB安全性实践:认证、授权与加密

#MongoDB
阅读全部

全部评论: 0

    我有话说: