redis简单加固

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/BleakRed/article/details/80625583

1 设置密码
Vim /etc/redis/redis.conf
Requirepass your password

2 服务器权限最小化
修改redis服务运行账号,确保一最低权限运行,并禁用该账号的登录权限
Useradd -M -s /sbin/nologin username

3 如非必要,仅允许redis本地通信
Bind 127.0.0.1
4 如要和其他服务器通信,则可以通过 iptables 策略,仅允许指定的 IP 来访问 Redis 服务。
1. iptables -A INPUT -s x.x.x.x -p tcp –dport 6379 -j ACCEPT
5 精细化授权
Redis 无权限分离,其管理员账号和普通账号无明显区分。攻击者登录后可执行任意操作,因此需要隐藏以下重要命令:FLUSHDB, FLUSHALL, KEYS,PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME,DEBUG, EVAL。
下述配置将 config/flushdb/flushall 设置为空,即禁用该命令;也可设置为一些复杂的、难以猜测的名字。
1. rename-command CONFIG “”
2. rename-command flushall “”
3. rename-command flushdb “”
4. rename-command shutdown shotdown_test
保存后,执行 /etc/init.d/redis-server restart 重启生效。

展开阅读全文

没有更多推荐了,返回首页