0x00 MongoDB權(quán)限介紹

1.MongoDB安裝時不添加任何參數(shù),默認是沒有權(quán)限驗證的,登錄的用戶可以對數(shù)據(jù)庫任意操作而且可以遠程訪問數(shù)據(jù)庫，需以–auth參數(shù)啟動。

2.在剛安裝完畢的時候MongoDB都默認有一個admin數(shù)據(jù)庫,此時admin數(shù)據(jù)庫是空的,沒有記錄權(quán)限相關(guān)的信息。當admin.system.users一個用戶都沒有時，即使mongod啟動時添加了–auth參數(shù),如果沒有在admin數(shù)據(jù)庫中添加用戶,此時不進行任何認證還是可以做任何操作(不管是否是以–auth 參數(shù)啟動),直到在admin.system.users中添加了一個用戶。

3.MongoDB的訪問分為連接和權(quán)限驗證，即使以–auth參數(shù)啟動還是可以不使用用戶名連接數(shù)據(jù)庫，但是不會有任何的權(quán)限進行任何操作

4.admin數(shù)據(jù)庫中的用戶名可以管理所有數(shù)據(jù)庫，其他數(shù)據(jù)庫中的用戶只能管理其所在的數(shù)據(jù)庫。

5.在2.4之前版本中，用戶的權(quán)限分為只讀和擁有所有權(quán)限；2.4版本的權(quán)限管理主要分為：數(shù)據(jù)庫的操作權(quán)限、數(shù)據(jù)庫用戶的管理權(quán)限、集群的管理權(quán)限，建議由超級用戶在admin數(shù)據(jù)庫中管理這些用戶。不過依然兼容2.4版本之前的用戶管理方法。

0x01 MongoDB中用戶的角色說明

1. read角色

數(shù)據(jù)庫的只讀權(quán)限，包括：

aggregate,checkShardingIndex,cloneCollectionAsCapped,collStats,count,dataSize,dbHash,dbStats,distinct,filemd5，mapReduce (inline output only.),text (beta feature.)geoNear,geoSearch,geoWalk,group