挂在网上的mongodb测试数据库,默认的无密码,端口直接登录,本来想着不会有人盯上吧,结果,一个月后,被黑客删库了,所以不管是接口,还是数据库的安全性一定要保证!!!
下面针对我的宝塔面板环境,记录给mongodb设置账号密码的过程。
1、进入mongodb安装目录,下面是宝塔面板的默认目录
cd /www/server/mongodb/bin2、输入命令行mongo,进入mongodb环境
mongo3、切换到 admin 数据库
use admin4、给admin设置用户密码
user: 用户名pwd: 用户密码roles: 用来设置用户的权限,比如读,读写 等等 db.createUser({user: 'root', pwd: 'admin_mima', roles: ['root']})5、验证是否添加成功,db.auth(用户名,用户密码)
db.auth('root', 'mima')如果返回 '1’表示验证成功, 如果是 ‘0’ 表示验证失败。
6、刚才是给root设置密码,现在要给特定的每个库设置权限,比如demo库 切换到demo库
use demo7、接下来为demo库添加一个用户,并且赋予权限,
db.createUser({ user: 'cccc', pwd: 'demo_mima', roles: [{ role: 'readWrite', db: 'demo' }] })这行代码意思是 创建一个cccc用户 给予读写权限 db表示该用户操作的数据库名。
Read:允许用户读取指定数据库readWrite:允许用户读写指定数据库dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profileuserAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。root:只在admin数据库中可用。超级账号,超级权限8、一切搞定,重新开机mongodb,通过增加 --auth 开启安全登录
mongod --dbpath /www/server/mongodb/data --auth不过、我不使用这种方式,我通过修改mongodb的配置文件来实现 原来的配置文件 修改后的
bindIp修改为 0.0.0.0 允许外网访问authorization 修改为 enabled 开启认证 重启一下mongodb最后再进行无密码登录,对不起,不好意思了。
