MongoDB是一款基于分布式文件存儲的開源數據庫。它是一個非常流行的NoSQL 數據庫，能夠以文檔型存儲提供高性能、高可用性和理想的擴展性，使得它可以有效地處理大型數據量，并且可以快速響應應付瞬態流量高峰。

在日常運維過程中，對 MongoDB 的用戶管理一直是安全控制的關鍵環節，用戶的管理會影響數據的安全性和被惡意操作的可能性。本文就介紹 MongoDB 用戶管理實踐，目的是讓它更安全可控。

1. 初始化用戶

首先，為了保證 MongoDB 用戶管理安全可控，需要先設立一個管理員賬號，作為管理用戶，其他業務賬號都在這個管理賬號的管理下。啟動 MongoDB 的時候，指定用戶名和密碼，最好是通過參數來配置。如果在 admin 數據庫中未部署過管理員用戶，則服務器啟動后會自動創建一個管理員賬號，新用戶有完全的讀寫訪問權限，主機名為 localhost，用戶名和密碼都由 MongoDB 自動生成。

例：

use admin

db.createUser( {

user: “admin”,

pwd: “password”,

roles: [

{ role : “userAdminAnyDatabase”, db: “admin” }

]

} )

2. 使用角色管理權限

MongoDB 支持角色管理，可以通過角色來給用戶設置針對某些資源的操作權限。MongoDB 本身提供了很多系統角色，可以讓用戶擁有一定范圍內的權限。比如，可以為某用戶設置 read 的角色，只能讀取，不能修改和添加數據。或者為某用戶設置 readWrite 的角色，可以讀取和修改數據。

例：

use admin

db.createUser( {

user: “reader”,

pwd: “readerPwd”,

roles: [

{ role : “read” , db: “admin” }

]

} )

3. 設置IP地址限制

除了設置用戶的角色之外，還可以針對用戶的IP地址設置限制，以限制用戶的操作范圍，以免不必要的操作導致安全風險。MongoDB可以指定ip地址，使用該ip地址來登錄用戶，并進行操作，從而限制用戶的操作范圍。

例：

use admin

db.createUser( {

user: “reader”,

pwd: “readerPwd”,

roles: [

{ role : “read” ,db: “admin” },

],

“passwordDigestor” : “server” ,

“mechanisms” : [“SCRAM-SHA-1”],

“otherDBRoles” :{ “security”: [“read”]

},

“whitelisting”:{

“aclsource.example.domain”: [

“xx.xx.xx.xx”

]

}

} )

總結：MongoDB 用戶管理是運維中必不可少的部分，只有安全可控以及嚴格的限制，才能保證 MongoDB 的安全性。通過初始化用戶，嚴格使用角色管理權限和設置IP地址限制，可以保證 MongoDB 管理安全可控，精簡運維過程。