mysql与redis安全问题

最新推荐文章于 2020-06-28 07:30:00 发布
最新推荐文章于 2020-06-28 07:30:00 发布
阅读量1.1w 收藏 4
点赞数 3
分类专栏: 服务端安全浅谈 文章标签: mysql redis 网络服务器 安全 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dengjiexian123/article/details/52973247
版权
本文探讨了作为网络服务器核心的数据库服务——MySQL和Redis可能存在的安全隐患,包括外部攻击的风险。提出了设置强密码策略等防范措施,旨在提高数据库的安全性。
摘要由CSDN通过智能技术生成

作为网络服务的中心,网络服务器,经常会受到来自外部的攻击,今天简单概括一下,作为服务端重要组成部分--数据库服务,存在哪些不安全的地方,以及如何去防范;

常见服务的安全问题:
1、redis服务;
2、mysql服务;

redis服务所存在的潜在安全问题:
redis crackit 漏洞利用实例;
由于很多reids服务都是免密码登录的,
连接无密码认证的reids服务;
测试是否支持config命令,并查看当前db文件位置;
修改db文件路径到crontab文件(覆盖/var/spool/cron/crontabs/下的文件)
修改db文件路径到ssh登陆秘钥文件(覆盖~/.ssh/authorized_keys文件)
这样,基本就可以通过攻击机器,ssh到redis所属机器上了。并且拿到启动redis的用户权限;

redis服务需要注意的安全常识:
redis服务安全配置(/etc/redis.conf)
只监听localhost或对访问源进行限制;
使用低权限的独立服务账号(redis)
增加密码认证
禁用config、flushdb、flushall、keys等特殊指令;

mysql服务安全配置:
只监听localhost或对访问源进行限制;
使用低特权的独立服务账号(由于mysql内置了一套较为高级的账号管理系统,不同的账号不仅对不同的数据库、表有不同的管理权限,而且不同的账号对其他的账号具有一定的权限管理,相当的高级)
合理划分mysql账号权限
为所有sql账号设置复杂密码,禁用特权账号远程登陆
合理设置linux文件系统权限
禁止mysql账号对非数据库文件的写入

最低0.47元/天 解锁文章
dengjiexian
关注
专栏目录
我的面经经验分享(阿里、腾讯、百度、网易等),您get到了吗?
weixin_47083537的博客
05-21 346
前言- 致那些迷茫的JAVA面试者,致那些奋发的年轻人,致自己。写这篇博文主要也是对我的成长道路的记录,面试受挫后的反思,及对自己的勉励。 本人介绍:3年多经验的程序员 背景:因水平有限,及对部分面试问题记忆及理解有限,可能有些问题并不能表达准确。掌握技术有限,学习主动性一般(虽遇到问题善于思考钻研,但如果没有遇到问题比较放纵自己…被自由,轻松,安逸迷失心智),以及原公司项目背景因素,基本不需要太多新的技术框架支持,更没有涉及消息中间件,高并发分布式等等相关较主流技术,技术体系相对较老。综上导致我对很多新.
redismysql安全_Redis 安全
weixin_28937805的博客
02-11 89
Redis 安全我们可以通过 redis 的配置文件设置密码参数,这样客户端连接到 redis 服务就需要密码验证,这样可以让你的 redis 服务安全。实例我们可以通过以下命令查看是否设置了密码验证:127.0.0.1:6379> CONFIG get requirepass1) "requirepass"2) ""默认情况下 requirepass 参数是空的,这就意味着你无需通过密码...
Redis的数据安全
qq_24432315的博客
06-28 250
Redis是一种远程内存数据库,主要用C语言编写完成,它也是基于键值对(key-value)的NoSQL数据库,提供了由String(字符串)、hash(哈希)、list(链表)...
拼多多&快手研发面经
Java技术江湖
09-14 5060
拼多多&快手研发面经 快手:Java研发工程师 面试共有三轮 技术面试两轮,一面40分钟,二面1个小时。 拼多多:业务平台研发工程师 在武汉进行的现场面试。共三面,耗时两个小时。 祝大家早日拿到满意的offer。 1一面 拼多多:业务平台研发工程师 在武汉进行的现场面试。共三面,耗时两个小时。 一:先面了hr面 1 项目情况 2 实习收获 3 老家和期望城市 ...
数据多的时候为什么要使用redis而不用mysql
dxyzhbb的博客
03-27 3925
通常来说,当数据多、并发量大的时候,架构中可以引入Redis,帮助提升架构的整体性能,减少Mysql(或其他数据库)的压力,但不是使用Redis,就不用MySQL。 因为Redis的性能十分优越,可以支持每秒十几万此的读/写操作,并且它还支持持久化、集群部署、分布式、主从同步等,Redis在高并发的场景下数据的安全和一致性,所以它经常用于两个场景: 缓存 经常会被查询,但是不经常被修改或...
DB服务器使用mysqlredis高可用框架干货
06-29
每一个实例就包含一个线程每个线程数据里包含:mysql连接器、redis连接器、内存回收池、安全的串行队列、条件变量、互斥量保证线程内的数据安全。5、工作原理:没有请求时,各个工作线程处于休眠状态。有读写请求时...
mysql+redis全自动化部署
04-01
本文将深入探讨如何通过"mysql+redis全自动化部署"实现高效的数据存储与管理。这个过程主要涉及MySQL关系型数据库和Redis内存数据存储的安装与配置,尤其适用于Windows 10操作系统。 标题中的"mysql+redis全自动化...
golang(gin)整合mysql,整合redis通用脚手架
04-06
本项目主要探讨的是如何将Gin与MySQL数据库和Redis缓存系统进行整合,构建一个通用的后端脚手架。 首先,我们需要了解Gin框架。Gin基于Martini设计,但性能更优,因为它使用了httprouter,这是一个高性能的路由树,...
基于 vue+go+gin+mysql+redis 的博客论坛 web 项目
最新发布
02-21
基于 vue+go+gin+mysql+redis 的博客论坛 web 项目。它主要实现了以下功能: UKEY 实名认证登录:用户可以通过插入 UKEY 来进行身份验证,提高安全性和便捷性。 软件中心和软件管理:用户可以通过软件中心来浏览、...
Java Jedis操作Redis示例(四)——RedisMysql的结合方案演进
Invoker's Tower
09-11 1万+
转载:http://blog.csdn.net/stubborn_cow/article/details/50586990 转载:http://blog.csdn.net/liubenlong007/article/details/53690312 转载:http://blog.csdn.net/donggang1992/article/details/50981341 转载:http://
redis如何利用多核的性能?
热门推荐
fofabu2的博客
01-03 1万+
redis的读取和处理性能非常强大,一般服务器的cpu都不会是性能瓶颈。redis的性能瓶颈主要集中在内存和网络方面。所以,如果使用的redis命令多为O(N)、O(log(N))时间复杂度,那么基本上不会出现cpu瓶颈的情况。 但是如果你确实需要充分使用多核cpu的能力,那么需要在单台服务器上运行多个redis实例(主从部署/集群化部署),并将每个redis实例和cpu内核进行绑定(使用 tas
使用HAProxy、PHP、RedisMySQL支撑每天上亿请求的架构细节
aw344的专栏
08-15 9305
使用HAProxy、PHP、RedisMySQL支撑10亿请求每周架构细节 发表于1小时前|536次阅读| 来源High Scalability|2 条评论| 作者Todd Hoff 大数据架构HAProxyPHPRedisMySQL 摘要:如果你还在为公司服务器架构的问题而纠结,不妨来看看Antoni Orfin是如何实现使用HAProxy、PHP、RedisMySQL支撑
Redis学习笔记
weixin_30897079的博客
02-05 5238
NoSql入门和概述 入门概述 1 互联网时代背景下 大机遇,为什么用nosql 1单机MySQL的美好年代 在90年代,一个网站的访问量一般都不大,用单个数据库完全可以轻松应付。在那个时候,更多的都是静态网页,动态交互类型的网站不多。 上述架构下,我们来看看数据存储的瓶颈是什么?1.数据量的总大小 一个机器放不下时2.数据的索引(B+ Tree)一个机器的内存放不下时3.访问...
远程连接云服务器RedisMySQL的坑
albert48的博客
11-27 336
我用Jedis连接我的阿里云服务器上的redis一直显示连接超时,经过研究才发现,需要在阿里云服务器的防火墙中添加开放的端口 这样就解决了
Java学习之路
AthlenaA的博客
05-21 1万+
第一部分是我在参加2018春招时所写,主要记录了我在研究生期间学习Java后端的心路历程。 第二部分内容是我参加2019秋季招聘过程中所作,记录了秋招路上所经历的一切。 第三部分内容则是我在秋招尘埃落定之后,对之前所学所想而做出的总结。 第一部分:Java后端学习之路 第二部分:我的秋招回忆录 第三部分:我的秋招经验分享(研发方向) 一、Java后端学习之路 这部分内容是我在准备2018年春招的时...
python连接三大主流数据库(mysqlredis、mongoDB)
你学废了吗?
03-09 2428
python连接mysql 用python操作mysql,你必须知道pymysql 代码示意: import pymysql conn = pymysql.connect(host='127.0.0.1', user='root', passwd='123', db='pydb', charset='utf8') print(conn)# <pymysql.connections....
利用老版本 Redis 漏洞获取服务器 root 权限。
顽石的专栏
12-26 6664
1. 背景介绍redis 服务默认情况下是未配置密码的,如果所在服务器恰好开了外网则此时很容易借助 redis漏洞获取到目标服务器的 root 权限。 yum 安装的 3.x 系列的 redis 一般默认开启了 protected 模式,此时只能从 127.0.0.1 连接操作 redis-server: 如果远程连接上,则不能进行操作: 如果用户从本地连上 redis-serve
美团在Redis上踩过的一些坑-5.redis cluster遇到的一些问题
weixin_33796205的博客
11-09 1442
转载请注明出处哈:http://carlosfu.iteye.com/blog/2254154 由于演讲时间有限,有关Redis-Cluster,演讲者没做太多介绍,简单的介绍了一些Redis-Cluster概念作用和遇到的两个问题,我们在Redis-Cluster也有很多运维经验,将来的文章会介绍。 但是讲演者反复强调,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值