专栏首页大数据和云计算技术MongoDB安全实战之审计

MongoDB安全实战之审计

邓开表同学实战MongoDB系列文章,非常不错,赞!大力推荐!

本文主要讲诉MongoDB的审计能力。在数据库安全的生命周期中,包括:保护、检测、响应及补救。检测的核心就是审计(Audit)。有些情况下,审计不仅仅用于检测不好的行为,也作为对整个数据库的行为进行监控而存在。审计能够告诉我们谁访问了什么、在什么地方、什么时间、采用了何种方式。

1、前言

在数据库安全的生命周期中,包括:保护、检测、响应及补救。检测的核心就是审计(Audit)。有些情况下,审计不仅仅用于检测不好的行为,也作为对整个数据库的行为进行监控而存在。审计能够告诉我们谁访问了什么、在什么地方、什么时间、采用了何种方式。

有效的审计不仅仅意味着安全,也有助于数据库整体的完善。

MongoDB企业版包括审计mongod服务和mongos路由器能力。允许管理员和用户跟踪系统活动,支持各种操作审计。一个完整的审计解决方案必须包括所有的mongod服务和mongos路由器进程。

MongoDB的审计机构能够将审计事件日志以输出在控制台(console),syslog,JSON文件或一个BSON文件四种方式显示。具体如何配置审计,步骤如下:

2、启用和配置审计的输出格式

使用--auditDestination配置项来启用MongoDB审计和指定输出的审计事件。

2.1 审计日志输出到syslog,如:

mongod  --dbpath /var/lib/mongo  --auditDestination syslog

或者,在MongoDB配置文件设置,如下:

auditLog:
destination: syslog

2.2 审计日志输出到console控制台

mongod  --dbpath /var/lib/mongo  --auditDestination console

或者,在MongoDB配置文件添加以下配置:

auditLog:
destination: console

2.3 与console、syslog不同,为了使审计以一个JSON格式文件输出审计事件,需要指定auditDestination设置文件,并设置--auditFormat JSON,输出文件名--auditpath路径。

mongod  --dbpath /var/lib/mongo --auditDestination file --auditFormat JSON --auditPath /var/lib/mongo/auditLog.json 

或者,在MongoDB配置文件添加以下配置:

auditLog:
    destination: file
    format: JSON
path: /var/lib/auditLog.json

2.4与JSON文件相似,以BSON格式输出审计事件,需要设置--auditDestination为文件file,以及设置--auditFormat、--auditPath这两个配置项。

mongod --dbpath /var/lib/mongo  --auditDestination file --auditFormat BSON --auditPath /var/lib/mongo/auditLog.bson

或者,在MongoDB配置文件添加以下配置:

auditLog:
    destination: file
    format: BSON
path: /var/lib/auditLog.bson

使用bosndump命令将bosn文件转换成可读的信息输出在终端:

bsondump /var/lib/mongo/auditLog.bson

注意:JSON和BSON输出格式相比,以JSON格式输出对服务器性能影响比较大。

3、配置审计过滤器

MongoDB Enterprise版本支持各种操作的审计。当开启MongoDB审计时,默认情况下,记录所有审计操作,在审计事件的动作,详细信息和结果。如果需要指定要记录的事件,审计的特征,则在--auditFilter配置项。

--auditFilter配置项以一个查询文档的字符串格式表示。语法如下:

{<field1>:<expression1>,...}

<field1>: <字段>可以在审计信息的任何内容领域,包括在文档返回字段。

<expression>: 指查询条件的表达式。

3.1

3.1 审计内容领域主要包括以下:

字段

类型

记录描述

atype

string

记录审计事件的行动,详细信息和结果。

ts

document

文档包含”$date”日期键值对,其中是以时间戳格式的值

local

document

文档包含ip键值对,及port键值对

remote

document

文档包含与事件相关联的远程连接ip键值对和port键值对

users

array

用户识别文档数组。由于MongoDB允许登录不同的用户数据库,该数组可以有一个以上的用户。每个文档包含用户名的user字段和该用户身份验证数据库的db字段。

roles

array

指定给用户的角色的文档数组,每个文档包含角色名称的role字段和该角色关联的数据库的db字段。

param

document

定义审计事件的具体细节,详细可以查看表2

result

integer

错误代码

表1

3.2 审计事件行为,细节信息和结果

以下表2列出了每一个atype的相关参数细节和结果值:

atype

param

result

authenticate

{user: <user name>,db: <database>,mechanism: <mechanism>}

0-表示成功18-表示认证失败

authCheck

{command: <name>,ns: <database>.<collection>, (可选) args: <command object> (args可编辑)}

0-表示成功13-没有权限的操作

createCollection

{ns: <database>.<collection>}

0-表示成功

createDatabase

{ns: <database>}

0-表示成功

createIndex

{ns: <database>.<collection>,indexName: <index name>,indexSpec: <index specification>}

0-表示成功

renameCollection

{old: <database>.<collection>new: <database>.<collection>}

0-表示成功

dropCollection

{ns: <database>.<collection>}

0-表示成功

dropDatabase

{ns: <database>}

0-表示成功

dropIndex

{ns: <database>.<collection>,indexName: <index name>}

0-表示成功

createUser

{user: <user name>,db: <database>,customData: <document>,roles: [ { role: <role name>, db: <database> }, ... ]}

0-表示成功

dropUser

{user: <user name>,db: <database>

0-表示成功

dropAllUsersFromDatabase

{db: <database>}

0-表示成功

updateUser

{user: <user name>,db: <database>,passwordChanged: <boolean>,customData: <document>, (可选)roles: [ { role: <role name>, db: <database> }, ... ]}

0-表示成功

enableSharding

{ns: <database>}

0-表示成功

removeShard

{shard: <shard name>}

0-表示成功

shutdown

{}

0-表示成功

表2

例子1:

使用审计过滤器记录createCollection和dropCollection行为的审计。

mongod --dbpath /var/lib/mongo \
--auditDestination file  \
--auditFilter ‘{ atype : {$in: [“createCollection”,”dropCollection”] } }’ \
--auditFormat BSON \
--auditPath /var/lib/mongo/auditLog.bson

或者,在MongoDB配置文件添加以下配置:

auditLog:
   destination: file
   format: BSON
   path: /var/lib/mongo/auditLog.bson
   filter: ‘{ atype : {$in: [“createCollection”,”dropCollection” ] } }’

模拟在创建一个集合之后,再删除掉集合:

查看BSON审计输出文件信息:

bsondump /var/lib/mongo/auditLog.bson 

上面审计输出文件信息分别显示了,创建集合的时间,创建服务ip和端口及远程连接终端ip和端口及返回结果代码;删除集合的时间,创建服务ip和端口及远程终端ip和端口及返回结果代码。

本文分享自微信公众号 - 大数据和云计算技术(jiezhu2007),作者:邓开表

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-02-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Spark这是要一统江湖的节奏

    Spark创始人Matei最近在spark submmit上做了一次演讲,看了内容会发现spark这是要一统江湖的架势,一起来看看都介绍了什么内容。 Spark...

    大数据和云计算技术
  • HBase框架基础(二)

    HBase的基础框架,将分成几个章节对HBase进行描述,不当之处还望大家批评指正。下面是了解HBase基础架构的第二部分。

    大数据和云计算技术
  • HBase实战 | HBase在人工智能场景的使用

    近几年来,人工智能逐渐火热起来,特别是和大数据一起结合使用。人工智能的主要场景又包括图像能力、语音能力、自然语言处理能力和用户画像能力等等。这些场景我们都需要处...

    大数据和云计算技术
  • 认识ASP.NET MVC的5种AuthorizationFilter

    在总体介绍了筛选器及其提供机制(《深入探讨ASP.NET MVC的筛选器》)之后,我们按照执行的先后顺序对四种不同的筛选器进行单独介绍,首先来介绍最先执行的Au...

    蒋金楠
  • 热点 | 日媒称日本政府将禁止华为设备进入中国市场,中国外交部回应此事

    外交部发言人华春莹表示,据了解日本政府官方并未作出相关的表态,这一说法的来源只是日本《产经新闻》的报道。

    镁客网
  • C# 数据操作系列 - 5. EF Core 入门

    上一章简单介绍了一下ORM框架,并手写了一个类似ORM的工具类。这一章将介绍一个在C#世界里大名鼎鼎的ORM框架——Entity Framework的Core版...

    程序员小高
  • IQKeyboardManager 获取完成按钮的解决办法

    我指定了textFlied的inputView。由于项目已经集成了IQKeyboardManager所以不用单独设置toolbar。

    ZY_FlyWay
  • 碰撞检测的向量实现

    注:1、本文只讨论2d图形碰撞检测。2、本文讨论圆形与圆形,矩形与矩形、圆形与矩形碰撞检测的向量实现

    WecTeam
  • Lambda 表达式入门,看这篇就够了

    说出来怕你们不相信,刚接到物业通知,疫情防控升级了,车辆只能出不能进,每户家庭每天可指派 1 名成员上街采购生活用品。这不是谣言,截个图自证清白,出自洛阳市湖北...

    沉默王二
  • nodejs 14.0.0源码分析之FixedQueue

    theanarkh

扫码关注云+社区

领取腾讯云代金券