Mongodb入门--头歌实验MongoDB数据库安全

2024-04-12 06:12

本文主要是介绍Mongodb入门--头歌实验MongoDB数据库安全,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

MongoDB 默认的启动是不验证用户名和密码的,启动 MongoDB 服务后,可以直接用命令 mongo 连接上来,对所有的库具有 root 权限。

这种情况下数据就像在“裸奔”一样,任何人都能修改我们的数据,所以我们要添加一些限制,来保证我们数据库的安全。本实训就介绍了几种方法来保护我们的数据。

一、创建管理员用户

任务描述

本关任务:在MongoDB数据库中创建一个具有root权限的管理员用户。

相关知识

为了完成本关任务,你需要掌握: 1.如何创建管理员用户; 2.如何查看创建的管理员用户; 3.如何启用身份验证; 4.如何使用管理员身份登录数据库。

创建管理员用户

管理员用户就是负责创建和管理其他用户的用户。

  • 切换到admin数据库(admin数据库是一个具有特殊权限的数据库,用户需要访问它以便执行某些管理命令);
use admin

在数据库admin中,创建管理员用户abc,密码为123,拥有root权限。

db.createUser({user:"abc",pwd:"123",roles:[{role:"root",db:"admin"}]})

结果如下图说明添加管理员用户成功:

 
  • 验证管理员用户是否存在:
db.auth("abc","123")
  • 如下图,返回为1说明成功。

查看用户

进入admin数据库,查看我们创建的用户:

use admin
show users

显示如下图所示:

启用身份验证

启用身份验证是为了保护数据库的安全。

身份验证默认是禁用的,因此要在启动MongoDB数据库服务mongod时使用参数--auth来启用身份验证(启用身份验证前,确保你至少已有一个管理员用户)。

  • 先关闭现在有的数据库服务
use admin 
db.shutdownServer()

运行结果如下:

 
  • 重新启动mongod服务

在命令行输入(下面代码所使用的路径为平台所用路径):

mongod --auth --port 27017 --dbpath /data/db --logpath /tmp/mongodb.log --fork
  • auth: 开启身份验证;
  • dbpath: 指定数据存放路径;
  • logpath: 指定日志文件输出路径;
  • fork: 后台运行。
管理员登录数据库
  • 情况一:在命令行连接数据库(注意选择admin数据库);

mongo -uabc -p123 admin
  • 情况二:在受限的情况下验证身份;

开启身份验证后,我们使用命令mongo直接连接数据库,虽然也能成功连接,但是在进行数据库操作如show dbs时会受到限制:

 

这是我们就要进入到admin数据库,去进行身份验证:

use admin
db.auth("abc","123")

返回数字1说明验证成功,0说明失败。

 

验证成功后将拥有管理员权限。

删除管理员用户

删除管理员用户abc命令如下:

db.system.users.remove({user:"abc"})

返回1说明删除成功,0说明删除失败。

二、按需求创建普通用户

任务描述

本关任务:根据编程要求创建一个普通用户。

相关知识

为了完成本关任务,你需要掌握: 1.常用的用户权限; 2.如何删除用户。

常用用户权限介绍

第一关我们已经接触了管理员用户的root权限,现在我们再来看看普通用户可拥有的权限。

权限说明
Read允许用户读取指定数据库
readWrite允许用户读写指定数据库
dbAdmin允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase只在admin数据库中可用,赋予用户所有数据库的读权限
readWriteAnyDatabase只在admin数据库中可用,赋予用户所有数据库的读写权限
userAdminAnyDatabase只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
root只在admin数据库中可用。超级账号,超级权限
创建普通用户
  • 创建用户:user1,密码:useu1,拥有数据库test的读写权限;
use test
db.createUser({user:"user1",pwd:"user1",roles:[{role:"readWrite",db:"test"}]})

注:该用户只对数据库test有权限。

查看用户命令:show users

  • 创建用户:user2,密码:user2,对数据库test2有读写权限,对数据库test有只读权限。
use test2
db.createUser({user:"user2",pwd:"user2",roles:[{role:"readWrite",db:"test2"},{role:"read",db:"test"}]})

查看用户命令:show users

 
删除用户

(要先确定自己有root权限)删除user2用户,先进入test2数据库:

use test2
db.dropUser("user2")

结果返回true说明删除成功:

编程要求

根据提示,在右侧命令行进行操作,创建数据库firstdb,再创建一个对其具有只读权限的普通用户people,密码为people

root@evassh-13080431:~# mongo
> use firstdb
switched to db firstdb
> db.createUser({user:"people",pwd:"people",roles:[{role:"read",db:"firstdb"}]})
Successfully added user: {"user" : "people","roles" : [{"role" : "read","db" : "firstdb"}]
}

三、数据库限制访问

任务描述

本关任务:在命令行进行操作,按照要求对数据库的访问进行限制。

相关知识

为了完成本关任务,你需要掌握: 1.如何限制 IP 访问; 2.如何限制端口访问。

限制 IP 访问,需要重启数据库服务 mongod 时,启用相应的功能,步骤如下:

  • 关闭服务(先用默认方法启动数据库:mongo ):
use admin            #进入admin数据库
db.shutdownServer()  #关闭服务
exit                 #退出数据库
  • 启动服务(只有本机 IP 可以连接数据库):
mongod --dbpath /data/db --logpath /tmp/mongodb.log --bind_ip 127.0.0.1 --fork
  • binf_ip :限制连接的网络接口,可以设置多个,以逗号隔开。

使用其他 IP 访问被限制,如图1所示:

图1


图 1

 
限制端口访问

当按照以上方法启动 mongod 时,默认情况下他会等待所有在端口27017上的入站连接,可以用 -port 修改该设置。也需要重新启动 mongod 服务,方法同上。

  • 关闭服务(先用默认方法启动数据库:mongo ):
use admin #进入admin数据库
db.shutdownServer() #关闭服务
exit #退出数据库
  • 启动服务(只有本机 IP 可以连接数据库,且限制只能端口20000连接):
mongod -port 20000 --dbpath /data/db --logpath /tmp/mongodb.log --bind_ip 127.0.0.1 --fork
  • 连接数据库:
mongo 127.0.0.1:20000

设置了端口后如果不加端口连接会被拒绝访问,如图2所示:

图2


图 2

 

注:在数据库实际的应用中,最好不要使用这些默认设置,对这些设置进行一些修改,让你的数据更加安全。

编程要求

在右侧命令行进行操作:

  • 进入admin数据库,关闭数据库服务(必须先关闭服务);

  • 重新启动服务,限制连接 IP 为:127.0.0.1,限制端口连接为:20018。

> use admin
switched to db admin
> db.shutdownServer()
server should be down...
2022-10-13T08:05:25.152+0000 I NETWORK  [js] trying reconnect to 127.0.0.1:20000 failed
2022-10-13T08:05:25.153+0000 I NETWORK  [js] reconnect 127.0.0.1:20000 failed failed 
> exit
bye
root@evassh-13080431:~# mongod -port 20018 --dbpath /data/db --logpath /tmp/mongodb.log --bind_ip 127.0.0.1 --fork
2022-10-13T08:06:44.925+0000 I CONTROL  [main] Automatically disabling TLS 1.0, to force-enable TLS 1.0 specify --sslDisabledProtocols 'none'
about to fork child process, waiting until server is ready for connections.
forked process: 1159
child process started successfully, parent exiting

 

这篇关于Mongodb入门--头歌实验MongoDB数据库安全的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/896321

相关文章

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

数论入门整理(updating)

一、gcd lcm 基础中的基础,一般用来处理计算第一步什么的,分数化简之类。 LL gcd(LL a, LL b) { return b ? gcd(b, a % b) : a; } <pre name="code" class="cpp">LL lcm(LL a, LL b){LL c = gcd(a, b);return a / c * b;} 例题:

Java 创建图形用户界面(GUI)入门指南(Swing库 JFrame 类)概述

概述 基本概念 Java Swing 的架构 Java Swing 是一个为 Java 设计的 GUI 工具包,是 JAVA 基础类的一部分,基于 Java AWT 构建,提供了一系列轻量级、可定制的图形用户界面(GUI)组件。 与 AWT 相比,Swing 提供了许多比 AWT 更好的屏幕显示元素,更加灵活和可定制,具有更好的跨平台性能。 组件和容器 Java Swing 提供了许多

【IPV6从入门到起飞】5-1 IPV6+Home Assistant(搭建基本环境)

【IPV6从入门到起飞】5-1 IPV6+Home Assistant #搭建基本环境 1 背景2 docker下载 hass3 创建容器4 浏览器访问 hass5 手机APP远程访问hass6 更多玩法 1 背景 既然电脑可以IPV6入站,手机流量可以访问IPV6网络的服务,为什么不在电脑搭建Home Assistant(hass),来控制你的设备呢?@智能家居 @万物互联

poj 2104 and hdu 2665 划分树模板入门题

题意: 给一个数组n(1e5)个数,给一个范围(fr, to, k),求这个范围中第k大的数。 解析: 划分树入门。 bing神的模板。 坑爹的地方是把-l 看成了-1........ 一直re。 代码: poj 2104: #include <iostream>#include <cstdio>#include <cstdlib>#include <al

MySQL-CRUD入门1

文章目录 认识配置文件client节点mysql节点mysqld节点 数据的添加(Create)添加一行数据添加多行数据两种添加数据的效率对比 数据的查询(Retrieve)全列查询指定列查询查询中带有表达式关于字面量关于as重命名 临时表引入distinct去重order by 排序关于NULL 认识配置文件 在我们的MySQL服务安装好了之后, 会有一个配置文件, 也就

音视频入门基础:WAV专题(10)——FFmpeg源码中计算WAV音频文件每个packet的pts、dts的实现

一、引言 从文章《音视频入门基础:WAV专题(6)——通过FFprobe显示WAV音频文件每个数据包的信息》中我们可以知道,通过FFprobe命令可以打印WAV音频文件每个packet(也称为数据包或多媒体包)的信息,这些信息包含该packet的pts、dts: 打印出来的“pts”实际是AVPacket结构体中的成员变量pts,是以AVStream->time_base为单位的显

C语言指针入门 《C语言非常道》

C语言指针入门 《C语言非常道》 作为一个程序员,我接触 C 语言有十年了。有的朋友让我推荐 C 语言的参考书,我不敢乱推荐,尤其是国内作者写的书,往往七拼八凑,漏洞百出。 但是,李忠老师的《C语言非常道》值得一读。对了,李老师有个官网,网址是: 李忠老师官网 最棒的是,有配套的教学视频,可以试看。 试看点这里 接下来言归正传,讲解指针。以下内容很多都参考了李忠老师的《C语言非

STM32(十一):ADC数模转换器实验

AD单通道: 1.RCC开启GPIO和ADC时钟。配置ADCCLK分频器。 2.配置GPIO,把GPIO配置成模拟输入的模式。 3.配置多路开关,把左面通道接入到右面规则组列表里。 4.配置ADC转换器, 包括AD转换器和AD数据寄存器。单次转换,连续转换;扫描、非扫描;有几个通道,触发源是什么,数据对齐是左对齐还是右对齐。 5.ADC_CMD 开启ADC。 void RCC_AD

MySQL入门到精通

一、创建数据库 CREATE DATABASE 数据库名称; 如果数据库存在,则会提示报错。 二、选择数据库 USE 数据库名称; 三、创建数据表 CREATE TABLE 数据表名称; 四、MySQL数据类型 MySQL支持多种类型,大致可以分为三类:数值、日期/时间和字符串类型 4.1 数值类型 数值类型 类型大小用途INT4Bytes整数值FLOAT4By