MongoDB и Mongoid в производстве

Ответ 1

Чтобы создать производственную среду, в которой вам нужно использовать имя пользователя и пароль для подключения:

В консоли mongo:

// Add an Admin User (to the admin db)
use admin
db.addUser("theadmin", "anadminpassword")

// Use your database
use supercool

// Add a user (to your database)
db.addUser("joe", "passwordForJoe")

// show all users:
db.system.users.find()

// add readonly user (kinda cool)
db.addUser("readonly", "passwordForJoe", true)

Теперь для всех подключений к вашему mongodb потребуется аутентификация - http://www.mongodb.org/display/DOCS/Security+and+Authentication

Также: вы можете использовать свой брандмауэр linux, чтобы разрешить только 27017 с вашего веб-сервера.

Ответ 2

MongoDB по умолчанию не поддерживает аутентификацию. Это по дизайну и, как ожидается, будет обрабатываться отдельными приложениями. Но не слишком сложно включить аутентифицированный доступ к MongoDB. Я опишу шаги, которые я предпринял для своих типичных рельсов, mongoid, git, настройки на основе capistrano.

• Сначала добавьте пользователя в базу данных администратора. Без чего ни один из нижеперечисленных шагов не работает.

  use admin
  db.addUser("heisenberg", "knock-knock")
  

• Создайте пользователя в db, которое будет использовать ваше приложение. В MongoDB аутентификации работает на уровне db

  use breaking_bad
  db.addUser("gus", "fring")
  

• Еще лучше, создайте пользователя только для чтения только для целей безопасности и производительности

  use breaking_bad
  db.addUser("walter", "white", true)
  

• Включить флаг auth для mongodb, чтобы уважать все ваши работы, связанные с проверкой подлинности. Это можно сделать либо через флаг --auth, либо в команду mongodb. Или лучше раскомментировать эту строку в файле /etc/mongodb.conf

  auth = true #Uncomment me
  

• Теперь перезапустите процесс mongodb, чтобы получить новые изменения.

  service mongodb restart
  

• Убедитесь, что вы находитесь на правильном пути, убедившись, что ваше приложение CRUD не работает! Он потерял доступ к чтению/записи с вашего mongodb afterall. Теперь добавьте имя пользователя и пароль: атрибуты вашего mongoid.yml в группе по умолчанию.

  production:
    sessions:
      default:
        database: breaking_bad
        hosts:
          - albuquerque.com:27017
        username: gus
        password: fring
  

• Для бонусных очков удалите файл mongoid.yml из репозитория git, так как этот файл теперь имеет учетные данные безопасности

  git rm mongoid.yml
  

• Добавьте задачи capistrano, которые скопируют файл mongoid.yml с вашего компьютера-разработчика на ваш сервер и добавьте соответствующие символические ссылки. Запустите cap deploy после этого

  namespace :mongoid do
    desc "Copy mongoid config"
    task :copy do
      upload "config/mongoid.yml", "#{shared_path}/mongoid.yml", :via => :scp
    end
  
    desc "Link the mongoid config in the release_path"
    task :symlink do
      run "test -f #{release_path}/config/mongoid.yml || ln -s #{shared_path}/mongoid.yml #{release_path}/config/mongoid.yml"
    end
  end
  

• Используйте параметр bind_ip в файле /etc/mongodb.conf, чтобы сообщить MongoDB только о подключении с вашего веб-сервера

• Используйте iptables для настройки параметров брандмауэра для дальнейшей защиты вашей установки. Или используйте его в VPN.

Дальнейшее чтение:

http://docs.mongodb.org/manual/tutorial/control-access-to-mongodb-with-authentication/ http://docs.mongodb.org/manual/administration/security/