0x00 MongoDB權限介紹

1.MongoDB安裝時不添加任何參數,默認是沒有權限驗證的,登錄的用戶可以對數據庫任意操作而且可以遠程訪問數據庫，需以–auth參數啟動。

2.在剛安裝完畢的時候MongoDB都默認有一個admin數據庫,此時admin數據庫是空的,沒有記錄權限相關的信息。當admin.system.users一個用戶都沒有時，即使mongod啟動時添加了–auth參數,如果沒有在admin數據庫中添加用戶,此時不進行任何認證還是可以做任何操作(不管是否是以–auth 參數啟動),直到在admin.system.users中添加了一個用戶。

3.MongoDB的訪問分為連接和權限驗證，即使以–auth參數啟動還是可以不使用用戶名連接數據庫，但是不會有任何的權限進行任何操作

4.admin數據庫中的用戶名可以管理所有數據庫，其他數據庫中的用戶只能管理其所在的數據庫。

5.在2.4之前版本中，用戶的權限分為只讀和擁有所有權限；2.4版本的權限管理主要分為：數據庫的操作權限、數據庫用戶的管理權限、集群的管理權限，建議由超級用戶在admin數據庫中管理這些用戶。不過依然兼容2.4版本之前的用戶管理方法。

0x01 MongoDB中用戶的角色說明

1. read角色

數據庫的只讀權限，包括：

aggregate,checkShardingIndex,cloneCollectionAsCapped,collStats,count,dataSize,dbHash,dbStats,distinct,filemd5，mapReduce (inline output only.),text (beta feature.)geoNear,geoSearch,geoWalk,group