Исчезли БД MongoDB?

Question

[keybus]

Доброго времени суток! Я пытался настроить доступ к бд по логину/паролю. Создал пользователя, под которым у меня не удалось авторизоваться, позже его "не существовало" в бд admin. После чего пропали все бд, созданные мною...

Кто-нибудь знает, что произошло в этой ситуации?

Comments

[Igor Deyashkin]

Было бы неплохо привести команды, которые вы выполняли, иначе не понятно какие именно действия были произведены: Какой именно контейнер вы запускали, с какими опциями? После чего "все пропало"? Как вы поняли, что бд пропали? И т.п.

[keybus]

Igor Deyashkin, я просто совершал действия по созданию пользователя в БД admin (db.createUser, db.createRole), пользователь вроде создался, я запустил mongod с параметром --auth и все.. Авторизоваться как пользователь, которого я создал не получилось.

Я попытался авторизоваться через Compass, там тоже не вышло, после чего я запустил mongod без параметра --auth и зашёл в Compass без авторизации, там были лишь бд admin, config, local.

[Igor Deyashkin]

Ой, насчет "контейнера" - по какой-то причине у меня была уверенность, что вы запускали БД в docker. Только сейчас понял, что о нем в вопросе ничего нет.

Все-таки было бы неплохо написать листинг всех выполненных команд (включая запуск сервера, все команды с параметрами из консоли mongo, команду с попыткой авторизоваться и ответ сервера. Вместа настоящего пароля можно поставить заглушки), чтобы можно было понять на каком этапе что-то идет не так. Скорее всего не корректно настроен пользователь.

Вероятно, при созданном пользователе mongo перестает показывать бд не авторизованному пользователю (не уверен). Попробуйте запустить сервер без авторизации, затем поправить настройки пользователя (или удалить его), и перезапустить уже с авторизацией.

И уточню - docker вы не используете, правильно? Если так - удалю свой ответ как не релевантный.

[keybus]

Igor Deyashkin, docker не использую. В полной точности восстановить все ответы сервера не получится, но пользователя заводил:

> use admin

// создание роли
> db.createRole({
role: "Admin",
privileges: [{
resource: {
db: "TestDB"
collection: "Storage"
},
actions: ["anyAction", "internal"]
}],
roles: []
});

// создание пользователя
db.createUser({
user: "Admin"
pwd: "***********",
roles: ["Admin"]
});

Далее я запускаю:
mongod --auth
Пытаюсь в mongo:
use admin
db.auth("Admin", "***********")
Журнал mongod сообщаяет, что не может найти пользователя "Admin", для дб admin.

Я запускаю:
mongod --noauth
После этого базы данных я больше не видел

[keybus]

Igor Deyashkin, у вас никаких идей? =(

[Igor Deyashkin]

Не было возможности этим заняться. Честно говоря, я полагал, что после ваших ответов на мои вопросы кто-нибудь да ответит =)

Сейчас повторю ваши действия, посмотрю, что происходит, после этого вероятно напишу ответ.

upd: еще вопрос, а какова ваша конечная цель в настройке авторизации?

[keybus]

Igor Deyashkin, Здравствуйте! Спасибо вам, я уже смог это разрулить =)

[Igor Deyashkin]

Поздравляю =)
Стоит тогда описать в чем было дело в виде ответа и отметить его как Решение.

[keybus]

Igor Deyashkin, к сожалению я сам не понял, это было дело случайного тыка...

Answer 1

[Igor Deyashkin]

Если сделать как вы описали - авторизация происходит успешно. Вероятно, где-то в процессе настройки, либо авторизации была допущена ошибка - например, пользователь создан не в той базе или что-то еще.

Листинг моей проверки

docker volume create testvol

docker run --rm --name test-mongo -v "testvol:/data/db" -d mongo
docker exec -it test-mongo mongo

use testDb;
db.createCollection("testCollection");
use admin;

db.createRole({
role: "Admin",
privileges: [{
resource: {
db: "testDb",
collection: "testCollection"
},
actions: ["anyAction", "internal"]
}],
roles: []
});

db.createUser({
user: "Admin",
pwd: "testpasswd",
roles: ["Admin"]
});

db.adminCommand({"listDatabases":1, "filter": {"name": "testDb"}, "nameOnly": true});
// { "databases" : [ { "name" : "testDb" } ], "ok" : 1 }

docker stop test-mongo

docker run --rm -v "testvol:/data/db" --name test-mongo -d mongo --auth

docker exec -it test-mongo mongo

db.adminCommand({"listDatabases":1, "filter": {"name": "testDb"}, "nameOnly": true});
//{
//        "ok" : 0,
//        "errmsg" : "command listDatabases requires authentication",
//        "code" : 13,
//        "codeName" : "Unauthorized"
//}

use admin;
db.auth("Admin", "testpasswd");
// 1
db.adminCommand({"listDatabases":1, "filter": {"name": "testDb"}, "nameOnly": true});
// { "databases" : [ { "name" : "testDb" } ], "ok" : 1 }

При отключенной авторизации все базы данных должны быть вам видны по идее. Возможно, созданный пользователь как-то мешает их видеть в админках, через которые вы проверяете, так что используйте команду `listDatabases` для чистоты эксперимента. Запустите базу с отключенной авторизацией, проверьте, что база есть. Если ее нет - вероятно тут уже проблема не связанная с авторизацией - напишите тут об этом. Найдите, где у вас создан пользователь Admin и удалите его.

docker run --rm -v "testvol:/data/db" --name test-mongo -d mongo
docker exec -it test-mongo mongo

use admin;
// switched to db admin
db.getUsers();
// [{ "_id" : "admin.Admin", ...
db.dropUser("Admin");
// true

После этого можно настроить пользователя заново. Возможно, имеет смысл создать "суперпользователя" - пользователя, под которым вы сможете администрировать базу без необходимости перезапускать сервер с отключенной авторизацией. Ведь пользователю Admin вы выдаете права только на одну коллекцию, а не на инстанс и он, я так понимаю, не сможет ни создать дополнительных бд, ни коллекций, ни пользователей.
Для этого можно использовать роль root, например.

И уже под этим пользователем продолжайте настройку.

Отмечу, что насчет разрешений, которые вы выдаете вашему пользователю написано:
> Do not assign this action unless it is absolutely necessary.

Стоит ему выдать ровно те разрешения, которые ему необходимы для текущей работы, а остальное делать из-под "суперпользователя".