Lưu trữ mongodb
MongoDB là một cơ sở dữ liệu được sử dụng trong nhiều ứng dụng, web,. Nó là cơ sở dữ liệu NoSQL vì không dựa trên cấu trúc cơ sở dữ liệu quan hệ dựa trên bảng truyền thống. Thay vào đó, nó sử dụng các tài liệu giống JSON với các lược đồ động Show
Theo mặc định MongoDB không bật xác thực theo mặc định, có nghĩa là bất kỳ người dùng nào có quyền truy cập vào máy chủ cơ sở dữ liệu được cài đặt đều có thể thêm và xóa dữ liệu mà không bị hạn chế chế độ. Để bảo mật lỗi này, hướng dẫn này sẽ hướng dẫn bạn cách tạo người dùng quản trị và kích hoạt xác thực Điều kiện tiên quyếtMáy chủ chạy Ubuntu 22. 04. MongoDB đã được cài đặt trên máy chủ của chúng tôi. Nếu máy chủ của họ chưa cài đặt Mongo thì có thể tham khảo hướng dẫn sau. Hướng dẫn cài đặt MongoDB trên Ubuntu 22. 04 LTS Tạo người dùng quản trịĐể tạo người dùng quản trị, hãy đăng nhập vào trình bao MongoDB, hãy chạy lệnh sau bên dưới MongoDB shell sẽ được thực thi
Thực hiện 1 câu truy vấn dữ liệu như sau Kết quả trả về toàn bộ cơ sở dữ liệu có trên máy chủ của chúng tôi
In the results on, only the database default new output. Tuy nhiên, nếu chúng ta có bất kỳ cơ sở dữ liệu nào chứa dữ liệu nhạy cảm trên hệ thống, thì bất kỳ người dùng nào cũng có thể tìm thấy chúng bằng lệnh này Và MongoDB Shell sẽ cảnh báo chúng ta "Máy chủ đã tạo các cảnh báo khởi động này khi khởi động. Kiểm soát truy cập không được kích hoạt cho cơ sở dữ liệu. Quyền truy cập đọc và ghi vào dữ liệu và cấu hình không bị hạn chế" như vậy bất kỳ hành động nào liên quan đến đọc, ghi dữ liệu hoặc cấu hình đều sẽ không bị cấm Như vậy để giảm thiểu lỗi này cần tiến hành tạo quản trị người dùng, trước tiên ta cần kết nối với Mongo shell Sau khi đã truy cập MongoDB Shell, hãy thực thi lệnh sau để cấp quyền cho người dùng được gán thông qua vai trò userAdminAnyDatabase. Quản trị viên DB được định nghĩa chỉ là nơi lưu trữ thông tin xác thực
Kết quả trả về
Đến đây chúng ta đã kết thúc quá trình tạo tài khoản quản trị cho Mongodb, chúng ta có thể thoát khỏi Mongodb shell bằng cách sử dụng lệnh exit hoặc CTRL+C Tại thời điểm này, người dùng 8 của họ đã được phép sử dụng thông tin xác thựcTo could enable Authentication, chúng ta cần chỉnh sửa tệp 9Chuyển đến dòng #bảo mật, bỏ nhận xét # và bổ sung 0
Khởi động lại mongod Tiến hành truy cập lại shell mongoDB để kiểm tra xem xác thực chưa hoạt động Kết quả trả về như sau không còn cảnh báo như trước nữa ________số 8_______ Sau khi tiến hành cấu hình bảo mật cho mongoDB process process thực hiện 1 câu truy vấn dữ liệu như sau Kết quả trả lại như sau
Như vậy xác thực của chúng ta đã được kích hoạt thành công cho mongdb Kiểm tra tài khoản quản trị đã tạo trước đóExecute command after
Chúng ta sẽ được yêu cầu nhập mật khẩu
Sau khi nhập đúng mật khẩu sẽ có đầu ra như sau
Từ đây chúng ta có thể thoải mái thực hiện các câu lệnh truy vấn dữ liệu mà không lo gì về xác thực nữa Kết quả trả lại như sau
Change port default mongoDBCũng giống như bất kỳ cơ sở dữ liệu nào khác, theo mặc định, MongoDB sẽ lắng nghe các kết nối trên một cổng đó là 27017. Chúng ta có thể sử dụng lệnh 2 để kiểm tra cuộc tấn công mà MongoDB đang lắng ngheChúng ta có thể thấy mongoDB đã lắng nghe cổng 27017 1Chúng ta có thể thay đổi cổng mặc định của mongoDB bằng cách tùy chỉnh phần 3 trong tệp 4 2Chúng ta có thể thay đổi sang cổng khác để phù hợp với nhu cầu của cá nhân Sau khi chúng ta đã thay đổi cổng mặc định của mongoDB, thì chúng ta tiến hành khởi động lại dịch vụ mongoDB Tiến hành sử dụng lệnh 2 để kiểm tra lại cổng mà chúng ta đã tiến hành thay đổi dịch vụ mongoDBChúng ta có thể thấy mongoDB đã lắng nghe cổng 21233 3Giới hạn IP lắng ngheMongoDB lien kết với localhost theo mặc định. Đó là một điều tốt mặc định mà chúng ta có thể cần phải thay đổi trừ khi tất cả các máy khách của chúng ta kết nối từ cùng một nút Tùy chọn sử dụng 3 cấu hình để chỉ định địa chỉ IP mà máy khách của chúng ta sẽ sử dụng để kết nối với máy chủ hoặc DNS bằng cách tiến hành tùy chỉnh trong tệp 4 4
Use Unix domain socketsNếu kết nối từ cùng một nút, chúng ta có thể xem xét việc tắt hoàn toàn tính năng nghe cổng TCP và kết nối qua ổ cắm tên miền Unix, trên các hệ thống dựa trên Unix Chúng ta có thể đặt đường dẫn socket làm IP và điều chỉnh quyền đối với ổ cắm tệp để cho phép kết nối bằng cách tùy chỉnh tệp 4 5Chúng ta có thể sử dụng lệnh 2 để đảm bảo rằng máy chủ MongoDB không lắng nghe bất kỳ cổng nào 6Thiết lập Remote Access cho MongodbNếu chúng ta cài đặt Mongodb trên một phiên bản riêng biệt, hoặc do yêu cầu thiết lập kết nối đến Mongodb từ môi trường bên ngoài, chúng ta buộc phải thiết lập Truy cập từ xa cho Mongodb UFW settingĐầu tiên chúng ta cần bật UFW và cài đặt để cho phép một công cụ IP có thể được kết nối với phiên bản chứa Mongodb thông qua cổng 27017 Status status status UFW Kết quả như sau Nếu kết quả trả về không hoạt động, chúng ta cần phải kích hoạt lại Kết quả như sau 7Cấu hình lại Public bindIpCho phép 1 IP cụ thể có thể kết nối với Mongodb 8Bởi vì khách hàng của chúng ta cần phải kết nối với Mongodb thông qua IP công khai, do đó bên ngoài buộc phải nghe Mongodb lắng nghe tại 127. 0. 0. 1, ta cần thông báo cho Mongodb để lắng nghe thêm tại public ip bằng cách thêm IP public của chúng ta vào tệp. 4Find to bindIp đoạn. 127. 0. 0. 1 and add address IP public of them ta 9Khởi động lại Mongodb Check tra Remote AccessChúng ta có thể sử dụng lệnh sau để kiểm tra kết nối đến Mongodb instance 0Sau khi nhập mật khẩu, chúng ta sẽ nhận được thông tin giống như khi mở Mongo shell tại local 1Sử dụng xác thực X. 509Sử dụng xác thực máy chủ X. 509Cấu hình xác thực TLS của máy chủ cho phép kết nối của máy khách để xác minh danh tính của máy chủ. Trước hết, chúng ta cần lấy chứng chỉ TLS mà máy chủ của chúng ta sẽ hiển thị cho khách hàng và chứng chỉ CA mà khách hàng sẽ sử dụng để xác minh rằng chứng chỉ đã xuất trình được ký bởi một cơ quan đáng tin cậy. Chúng ta có thể sử dụng certbot để nhận chứng chỉ TLS miễn phí từ Let's Encrypt hoặc chỉ cần tạo CA và bộ ký tự chứng chỉ cục bộ bằng lệnh 3Tiến hành tạo các ký tự CA bằng cách thực hiện lệnh sau 2Tiếp tục tạo CSR của máy chủ bằng cách thực hiện lệnh bên dưới 3Ký chứng chỉ máy chủ 4Đối với các cụm nhiều nút, hãy ký một chứng chỉ cho mỗi nút. MongoDB chỉ yêu cầu chứng chỉ và khóa phải nằm trong cùng một tệp, vì vậy hãy đặt chúng lại với nhau trong một tệp PEM 5Bây giờ chúng ta có thể cập nhật cấu hình máy chủ để bật TLS. Chúng ta cũng nên tắt phiên bản TLS cũ và buộc client sử dụng TLS 1. 3, by way config file 4 at section 3 6Cho phép truy cập và ghi nhật kýĐể kiểm tra chi tiết là một phần không thể thiếu trong quá trình tăng cường bảo mật của bất kỳ hệ thống nào. MongoDB không cung cấp khả năng ghi nhật ký kiểm tra hợp lệ trong phiên bản mã nguồn mở của nó. Chúng ta có thể bật tính năng ghi nhật ký Hệ thống ghi nhật ký của MongoDB dựa trên thành phần
Tiến hành kích hoạt trong cấu hình của mongoDB tại 4 tại phần 1 7Lời KếtBằng cách hoàn thành hướng dẫn này, chúng tôi đã thiết lập một người dùng MongoDB quản trị mà chúng tôi có thể sử dụng để tạo và sửa đổi người dùng và vai trò trò chơi mới, cũng như quản lý phiên bản MongoDB. Chúng ta cũng đã định cấu hình phiên bản MongoDB để yêu cầu xác thực người dùng bằng tên người dùng và mật khẩu hợp lệ trước khi họ có thể tương tác với bất kỳ dữ liệu nào |