mongodb 设置密码

MongoDB不设置密码连接的方法

MongoDB是一个非常流行的NoSQL数据库，它允许用户在不需要设置密码的情况下进行连接，这种方法可以提高安全性，但同时也降低了访问控制的灵活性，本文将介绍如何在不设置密码的情况下连接到MongoDB数据库。

1、使用认证令牌

MongoDB支持使用认证令牌(access token)进行身份验证，而无需设置密码，要使用认证令牌，需要在MongoDB服务器上配置一个身份验证插件，如mongodb-authentication-token，以下是配置步骤：

1、1. 安装mongodb-authentication-token插件

在MongoDB服务器上运行以下命令以安装mongodb-authentication-token插件：

sudo apt-get install mongodb-authentication-token

1、2. 启动MongoDB服务并添加身份验证插件

运行以下命令以启动MongoDB服务并添加mongodb-authentication-token插件：

sudo service mongod start
sudo systemctl enable mongod
sudo mongod --authenticationDatabase admin --authMechanisms MONGODB-X509 --plugin /usr/lib/mongodb/plugins/authentication/token/mongodb-authentication-token.so --bind_ip localhost --port 27017 --dbpath /data/db --logpath /var/log/mongodb/mongod.log --fork

1、3. 生成认证令牌

运行以下命令以生成一个认证令牌：

mongo --host localhost --port 27017 <<EOF
use admin
db.createUser({user: "myuser", pwd: "mypassword", roles: [{role: "readWrite", db: "mydb"}]})
exit
EOF

这将在admin数据库中创建一个具有读写权限的用户，使用以下命令生成一个认证令牌：

export MONGO_AUTH_TOKEN=<your_generated_token>

1、4. 使用认证令牌连接到MongoDB

现在可以使用生成的认证令牌连接到MongoDB数据库，而无需设置密码：

mongo --host localhost --port 27017 --authenticationDatabase admin --authMechanisms MONGODB-X509 --authSource mydb --username myuser --password <your_generated_token> --db mydb

2、使用TLS连接到MongoDB(仅适用于生产环境)

如果需要在生产环境中连接到MongoDB,可以使用TLS加密通信，需要在MongoDB服务器上启用TLS，以下是启用TLS的步骤：

2、1. 在MongoDB服务器上生成证书和密钥对

运行以下命令以生成证书和密钥对：

openssl req -newkey rsa:2048 -nodes -keyout keyfile.pem -x509 -days 365 -out certfile.pem -subj "/CN=localhost"

2、2. 将证书和密钥对复制到MongoDB服务器上的相关目录

将生成的keyfile.pem和certfile.pem文件复制到MongoDB服务器上的以下目录：

sudo cp keyfile.pem /etc/ssl/certs/mongodb-server.crt
sudo cp certfile.pem /etc/ssl/certs/mongodb-server.pem
sudo chmod 644 /etc/ssl/certs/mongodb-server.*

2、3. 在MongoDB服务器上配置TLS选项

编辑MongoDB配置文件(通常位于/etc/mongod.conf),并添加以下内容：

net:
  bindIp: 127.0.0.1,::1,localhost,[::]:27017  只监听回环地址和指定IP地址的连接，避免暴露给外部网络访问，其他IP地址可以通过防火墙规则开放，端口号保持为27017不变。  如果有多个节点，请确保它们都使用相同的绑定IP地址和端口号。tlsMode: "preferSSL"  这将导致客户端优先选择使用SSL连接，而不是TLS，如果没有可用的SSL证书，则会使用TLS，tlsSystemCerts: true  这将允许客户端信任系统证书颁发机构(CA)签发的证书，tlsAllowInvalidCertificates: true  这将允许客户端接受无效或过期的证书。  这些选项应该谨慎使用，因为它们可能会降低安全性，如果可能的话，请尽量避免使用它们。security:  这部分与上述选项类似，也应该谨慎使用。tlsCAFile: "/etc/ssl/certs/ca-certificates.crt"  这将指定包含受信任CA证书的文件路径。tlsCertFile: "/etc/ssl/certs/client-certificate.pem"  这将指定客户端证书文件的路径。tlsKeyFile: "/etc/ssl/certs/client-key.pem"  这将指定客户端密钥文件的路径。tlsAllowUnsafeServerCerts: true  这将允许客户端接受不安全或自签名的服务器证书。tlsClientAuth: require  这将要求客户端提供有效的证书来验证其身份。tlsVerifyServerCert: true  这将要求服务器提供其证书以供客户端验证。tlsEnableSSL: true  这将强制MongoDB使用SSL进行通信，即使客户端请求使用TLS。tlsRSAKeySize: 2048  这将指定RSA密钥的大小(以位为单位)。tlsECKeySize: 256  这将指定EC密钥的大小(以位为单位)。tlsAllowedCipherSuites:  这将允许客户端使用的密码套件列表。tlsProtocolVersion: "TLSv1_2"  这将指定客户端支持的TLS协议版本。tlsMinVersion: "TLSv1_2"  这将指定客户端支持的最低TLS协议版本。tlsMaxVersion: "TLSv1_3"  这将指定客户端支持的最高TLS协议版本。tlsCurvePreferences:  这将指定客户端支持的椭圆曲线算法列表。tlsNextProtoNeg: true  这将允许客户端在握手过程中指定下一个协议类型。tlsPreferServerCipherSuites: true  这将使客户端优先选择服务器提供的密码套件列表中的密码套件进行加密通信。tlsSessionTicketKeys: true  这将启用会话票证机制，以便在长时间运行的连接中减少握手次数。tlsSessionTicketKeysExpireAfterHours: 8  这将设置会话票证的有效期为8小时。requireClientAuth: allowWithoutName  这将允许匿名客户端连接到服务器，而不要求提供有效的证书进行身份验证。requireValidCertificateMatch: subjectAltName  这将要求客户端提供与其域名匹配的证书主题备用名称字段值。allowInvalidHostnames: false  这将禁止客户端提供无效或不存在的主机名进行连接。allowSniConnections: true  这将允许SNI(Server Name Indication)扩展用于识别目标服务器的主机名。verifyServerCertHasCAChain: true  这将要求服务器证书链中至少包含一个受信任的CA证书。verifyDepth: 1  这将限制验证服务器证书链的深度为1级，从而提高安全性。clientAuthMode: "REQUIRED"  这将要求客户端提供有效的证书进行身份验证。clientRootCertificates: ["$external"]  这将指定包含受信任根CA证书的文件路径列表，这些证书可用于验证客户端提供的证书。trustedCAFiles: []  这将指定包含受信任CA证书的文件路径列表，这些证书可用于验证服务器提供的证书链中的其他中间CA证书。clientCertificateAllowedDNSResolvers: []  这将指定允许用于解析客户端证书中列出的DNS记录的DNS解析器列表。clientCertificateCommonNameOverridenInTrustedCAFileConfigMapEnabled: false  这将禁用覆盖受信任CA文件中定义的通用名称的功能，以防止出现意外的结果。clientCertificateSubjectAlternativeNameSANListDisabledByDefault: false  这将禁用默认禁用Subject Alternative Name(SAN)列表的功能，以防止出现意外的结果。clientKeyAlgorithmPreferences: "RSA" "ECDSA256"  这将指定客户端首选使用的密钥算法列表。clientKeyExchangeAlgorithmPreferences: "RSA" "ECDH" "DHE" "ECDHE" "PSK" "ECDSA" "ANY" "NONE" "GSSAPI" "KRB5" "NTLM" "CRAM_MD5" "DIGEST_MD5"  这将指定客户端首选使用的密钥交换算法列表？??????????