loading

资讯

redis-保护好redis服务器,做好必要的安全设置

宝塔服务器面板¥3188大礼包,请点击领取!

1.前言
运维不是维护好服务就好,更应该注意安全。
redis-保护好redis服务器,做好必要的安全设置
2.限制内网访问,或者只限制本机访问
redis-保护好redis服务器,做好必要的安全设置
只监听内网的IP,然后在iptables里面限制访问的主机:
在/etc/redis/redis.conf中配置如下:

bind 192.168.12.100

如果服务只需要本机访问就直接监听127.0.0.1的回环地址就可以了。
3.设置防火墙
redis-保护好redis服务器,做好必要的安全设置
如果需要其他机器访问,或者设置了slave模式,那就记得加上相应的防火墙设置,命令如下:

iptables -A INPUT -s 192.168.12.10/32 -p tcp --dport 6379 -j ACCEPT

4.禁止root用户启动redis
使用root权限去运行网络服务是比较有风险的(nginx和apache都是有独立的work用户,而redis没有)。edis crackit 漏洞就是利用root用户的权限来替换或者增加authorized_keys,来获取root登录权限的。

useradd -s /sbin/nolog -M redis
setsid sudo -u redis /usr/bin/redis-server /etc/redis/redis.conf # 使用root切换到redis用户启动服务

5.限制redis文件目录访问权限
设置redis的主目录权限为700,如果redis配置文件独立于redis主目录,权限修过为600,因为redis密码明文存储在配置文件中。
6.避免使用熟知的端口,降低被初级扫描的风险
在/etc/redis/redis.conf中配置如下:
找到port 6379这行,把6379改为9999,记得iptables对应的端口要修改
7.开启redis密码认证,并设置高复杂度密码
redis在redis.conf配置文件中,设置配置项requirepass, 开户密码认证。
redis因查询效率高,auth这种命令每秒能处理10w次以上,简单的redis的密码极容易为攻击者暴破。
8.禁用或者重命名危险命令
edis crackit漏洞就利用config/save两个命令完成攻击 。 因redis无用户权限限制,建议危险的命令,使用rename配置项进行禁用或重命名,这样外部不了解重命名规则攻击者,就不能执行这类命令。涉及到的命令:

FLUSHDB, FLUSHALL, KEYS, PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME, DEBUG, EVAL`

以下示例:redis.config文件禁用FLUSHDB、FLUSHALL两个命令;重命名CONFIG、SHUTDOWN命令,添加一个特殊的后缀。 这样redis启动后,只能运行CONFIG_b9fc8327c4dee7命令,不能执行CONFIG命令。

rename-command CONFIG CONFIG_des327c4dee7dfsf
rename-command SHUTDOWN SHUTDOWN_des327c4dee7dfsf
rename-command FLUSHDB ""
rename-command FLUSHALL ""

上述配置将config,flushdb,flushall设置为了空,即禁用该命令,我们也可以命名为一些攻击者难以猜测,我们自己却容易记住的的名字。保存之后,执行/etc/init.d/redis-server restart 重启生效。

(0)

本文由 podipod软库网 作者:Anonymous 发表,转载请注明来源!

全国计算机等级考试题库

热评文章

发表评论