Redis 保护模式

原创 2016年08月31日 14:07:45
完全无视安全功能的 Redis 服务器自创建以来饱受各种安全风险的困扰,Risk Based Security (RBS) 最近发现了 6338 台受到侵入的 Redis 服务器Redis 是一个在内存中以键值对方式存储数据的 NOSQL 数据库。据 DB-Engines 的统计数据,它在 2015 年度的数据库流行度位列第十,而在键值对数据库中排名第一
由于 Redis 以性能为第一考量,所以默认配置下该数据库没有任何的认证或其它的安全控制功能。
Redis 服务器存在 SSH 密钥创建漏洞

任何人只要知道你的 IP 地址和 Redis 的端口,就可以访问其中的任意内容。更糟糕的是,在 2015 年末,发现了一种攻击方式可以让任何人在你的 Redis 服务器上的 authorized_keys 文件中存储 SSH 密钥——这意味着,攻击者将不需要任何密码即可取得 Redis 服务器上的 SSH 访问权限。

而现在,至少有三万台没有任何验证措施的 Redis 服务器暴露在互联网上,据 RBS 研究人员的称,已经有 6338 台 Redis 被窃取了 SSH 权限。

该公司在通过 Shodan 进行了非侵入式扫描之后得出了如上结论。RBS 的研究人员在分析了被入侵的服务器之后发现,它们上面存在着一个名为“crackit” 的 SSH 密钥,其关联的邮件地址 ryan@exploit.im 曾在之前的其它入侵事件中出现过。除了 ryan@exploit.im 这个地址出现过 5892 次之外,root@chickenmelone.chicken.com 和  root@dedi10243.hostsailor.com 也分别出现了 385 次和 211 次。除了“crackit” 之外,还有一些名为“crackit_key”, “qwe” ,“ck” 和 “crack” 之类的密钥名。据 RBS 分析,这表明它们来自多个组织或个人。

攻击者并不针对特定的 Redis 版本,任何版本都可能被黑

这些被攻击的 Redis 服务器的版本多达 106 个,从早期的 1.2.0. 到最新的 3.2.1 都有。

“从对这些数据的分析中得不到更进一步的结果,只能确认两件事,第一件事是这并非新出现的漏洞,第二是,有些服务器只是被侵入了,但是并没有被利用。”RBS 研究人员解释说

该公司建议系统管理员们升级其 Redis 服务器到最新的版本,并启用 3.2 版本新引入的“保护模式”。另外,不要将 Redis 服务器或者其它的数据库暴露在互联网上是最起码的安全准则。

// redis-server 服务器关闭服务器保护模式

redis-server -protected-mode=no 

本文地址:http://www.linuxprobe.com/redis-server-ssh-risk.html
来自:http://blog.csdn.net/yunwei888/article/details/51872486

版权声明:本文为博主原创文章,未经博主允许欢迎转载。

相关文章推荐

已解决:客户端无法登录Redis服务器报错,解除保护模式

一:问题如下 在192.168.56.57客户端登录192.168.56.56的redis服务器时,报错如下: [root@localhost src]# ./redis-cli -h 192...

客户端无法登录Redis服务器报错,解除保护模式

http://blog.csdn.net/fly43108622/article/details/52972433 一:问题如下 [sql] view plain copy ...

redis 报错 Redis protected-mode 配置文件没有真正启动

(error) DENIED Redis is running in protected mode because protected mode is enabled Redis protected-...

java 客户端链接不上redis解决方案

出现问题描述: 1.Could not get a resource from the pool, Connection refused: connectwindows java这边客户端链接被拒接...

保护你的redis,给你的redis加“锁”

一个段子 曾经有个实习生,对redis没有加密, 瞬间数据库被压崩,导致整个业务崩溃。那么,我们该如何保护我们的redis呢?redis的保护方案 比较安全的办法是采用绑定IP的方式来进行控制。...
  • f112122
  • f112122
  • 2015年10月07日 17:51
  • 987

Redis设置密码保护

Redis安装好了之后,默认是没有密码保护的,为了安全要设置密码保护。 在客户端登录本地的192.168.56.56服务器 [root@shanxi src]# ./redis-cli 查...

redis 安全

原文:http://redis.io/topics/security   1.     Redis的安全模式        可信环境下的可信用户才可访问redis。这意味着,将red...

已解决:客户端无法登录Redis服务器报错,解除保护模式

一:问题如下 在192.168.56.57客户端登录192.168.56.56的redis服务器时,报错如下: [root@localhost src]# ./redis-cli -h 192...

Frame、JPanel、JApplet的布局管理器是什么

JFrame 缺省布局使用的是边界布局管理器(BorderLayout).JPanel 缺省布局使用的是流式布局管理器(FlowLayout).边界布局管理器(BorderLayout)是将容器控件划...

Redis protected-mode 保护模式

原文:http://arui.me/index.php/archives/151/ Redis protected-mode 是3.2 之后加入的新特性,在Redis.conf的注释中,我们可以了解到...
  • COOL_CR
  • COOL_CR
  • 2016年09月02日 09:52
  • 504
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Redis 保护模式
举报原因:
原因补充:

(最多只允许输入30个字)