Mongodb入门--头歌实验MongoDB数据库安全
第一关我们已经接触了管理员用户的root权限,现在我们再来看看普通用户可拥有的权限。权限说明Read允许用户读取指定数据库readWrite允许用户读写指定数据库dbAdmin允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profileuserAdmin允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户只在admin数据库中可用,
MongoDB 默认的启动是不验证用户名和密码的,启动 MongoDB 服务后,可以直接用命令 mongo 连接上来,对所有的库具有 root 权限。
这种情况下数据就像在“裸奔”一样,任何人都能修改我们的数据,所以我们要添加一些限制,来保证我们数据库的安全。本实训就介绍了几种方法来保护我们的数据。
一、创建管理员用户
任务描述
本关任务:在
MongoDB数据库中创建一个具有root权限的管理员用户。相关知识
为了完成本关任务,你需要掌握: 1.如何创建管理员用户; 2.如何查看创建的管理员用户; 3.如何启用身份验证; 4.如何使用管理员身份登录数据库。
创建管理员用户
管理员用户就是负责创建和管理其他用户的用户。
- 切换到
admin数据库(admin数据库是一个具有特殊权限的数据库,用户需要访问它以便执行某些管理命令);
use admin在数据库
admin中,创建管理员用户abc,密码为123,拥有root权限。db.createUser({user:"abc",pwd:"123",roles:[{role:"root",db:"admin"}]})结果如下图说明添加管理员用户成功:
- 验证管理员用户是否存在:
db.auth("abc","123")
- 如下图,返回为
1说明成功。
查看用户
进入
admin数据库,查看我们创建的用户:use admin show users显示如下图所示:
启用身份验证
启用身份验证是为了保护数据库的安全。
身份验证默认是禁用的,因此要在启动
MongoDB数据库服务mongod时使用参数--auth来启用身份验证(启用身份验证前,确保你至少已有一个管理员用户)。
- 先关闭现在有的数据库服务
use admin db.shutdownServer()运行结果如下:
- 重新启动
mongod服务
在命令行输入(下面代码所使用的路径为平台所用路径):
mongod --auth --port 27017 --dbpath /data/db --logpath /tmp/mongodb.log–fork
auth: 开启身份验证;dbpath: 指定数据存放路径;logpath: 指定日志文件输出路径;fork: 后台运行。
管理员登录数据库
- 情况一:在命令行连接数据库(注意选择
admin数据库);
mongo -uabc -p123 admin
- 情况二:在受限的情况下验证身份;
开启身份验证后,我们使用命令
mongo直接连接数据库,虽然也能成功连接,但是在进行数据库操作如show dbs时会受到限制:这是我们就要进入到
admin数据库,去进行身份验证:use admin db.auth("abc","123")返回数字
1说明验证成功,0说明失败。验证成功后将拥有管理员权限。
删除管理员用户
删除管理员用户
abc命令如下:db.system.users.remove({user:"abc"})返回
1说明删除成功,0说明删除失败。
二、按需求创建普通用户
任务描述
本关任务:根据编程要求创建一个普通用户。
相关知识
为了完成本关任务,你需要掌握: 1.常用的用户权限; 2.如何删除用户。
常用用户权限介绍
第一关我们已经接触了管理员用户的
root权限,现在我们再来看看普通用户可拥有的权限。
权限 说明 Read 允许用户读取指定数据库 readWrite 允许用户读写指定数据库 dbAdmin 允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile userAdmin 允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户 clusterAdmin 只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。 readAnyDatabase 只在admin数据库中可用,赋予用户所有数据库的读权限 readWriteAnyDatabase 只在admin数据库中可用,赋予用户所有数据库的读写权限 userAdminAnyDatabase 只在admin数据库中可用,赋予用户所有数据库的userAdmin权限 dbAdminAnyDatabase 只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。 root 只在admin数据库中可用。超级账号,超级权限 创建普通用户
- 创建用户:
user1,密码:useu1,拥有数据库test的读写权限;
use testdb.createUser({user:“user1”,pwd:“user1”,roles:[{role:“readWrite”,db:“test”}]})
注:该用户只对数据库
test有权限。查看用户命令:
show users;
- 创建用户:
user2,密码:user2,对数据库test2有读写权限,对数据库test有只读权限。
use test2db.createUser({user:“user2”,pwd:“user2”,roles:[{role:“readWrite”,db:“test2”},{role:“read”,db:“test”}]})
查看用户命令:
show users;删除用户
(要先确定自己有
root权限)删除user2用户,先进入test2数据库:use test2 db.dropUser("user2")结果返回
true说明删除成功:编程要求
根据提示,在右侧命令行进行操作,创建数据库
firstdb,再创建一个对其具有只读 权限的普通用户people,密码为people。
root@evassh-13080431:~# mongo
> use firstdb
switched to db firstdb
> db.createUser({user:"people",pwd:"people",roles:[{role:"read",db:"firstdb"}]})
Successfully added user: {
"user" : "people",
"roles" : [
{
"role" : "read",
"db" : "firstdb"
}
]
}
三、数据库限制访问
任务描述
本关任务:在命令行进行操作,按照要求对数据库的访问进行限制。
相关知识
为了完成本关任务,你需要掌握: 1.如何限制 IP 访问; 2.如何限制端口访问。
限制 IP 访问,需要重启数据库服务 mongod 时,启用相应的功能,步骤如下:
- 关闭服务(先用默认方法启动数据库:mongo ):
use admin #进入admin数据库 db.shutdownServer() #关闭服务 exit #退出数据库
- 启动服务(只有本机 IP 可以连接数据库):
mongod --dbpath /data/db --logpath /tmp/mongodb.log --bind_ip 127.0.0.1–fork
- binf_ip :限制连接的网络接口,可以设置多个,以逗号隔开。
使用其他 IP 访问被限制,如图1所示:
图 1
限制端口访问
当按照以上方法启动 mongod 时,默认情况下他会等待所有在端口27017上的入站连接,可以用 -port 修改该设置。也需要重新启动 mongod
服务,方法同上。
- 关闭服务(先用默认方法启动数据库:mongo ):
use admin #进入admin数据库 db.shutdownServer() #关闭服务 exit #退出数据库
- 启动服务(只有本机 IP 可以连接数据库,且限制只能端口20000连接):
mongod -port 20000 --dbpath /data/db --logpath /tmp/mongodb.log–bind_ip 127.0.0.1 --fork
- 连接数据库:
mongo 127.0.0.1:20000设置了端口后如果不加端口连接会被拒绝访问,如图2所示:
图 2
注:在数据库实际的应用中,最好不要使用这些默认设置,对这些设置进行一些修改,让你的数据更加安全。
编程要求
在右侧命令行进行操作:
进入
admin数据库,关闭数据库服务(必须先关闭服务 );重新启动服务,限制连接 IP 为:127.0.0.1,限制端口连接为:20018。
> use admin
switched to db admin
> db.shutdownServer()
server should be down...
2022-10-13T08:05:25.152+0000 I NETWORK [js] trying reconnect to 127.0.0.1:20000 failed
2022-10-13T08:05:25.153+0000 I NETWORK [js] reconnect 127.0.0.1:20000 failed failed
> exit
bye
root@evassh-13080431:~# mongod -port 20018 --dbpath /data/db --logpath /tmp/mongodb.log --bind_ip 127.0.0.1 --fork
2022-10-13T08:06:44.925+0000 I CONTROL [main] Automatically disabling TLS 1.0, to force-enable TLS 1.0 specify --sslDisabledProtocols 'none'
about to fork child process, waiting until server is ready for connections.
forked process: 1159
child process started successfully, parent exiting
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。
更多推荐
19
0- 0
已为社区贡献19条内容
所有评论(0)