Java配置15-redis未授权访问漏洞修复

已于 2022-10-31 09:38:35 修改
阅读量990 收藏 1
点赞数
分类专栏: Java配置 文章标签: redis java 缓存
于 2022-01-17 16:08:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JustDI0209/article/details/122542072
版权

目录

1.现状

2.方法

1)单节点redis配置

2)主从redis配置

3)哨兵配置

1.现状

近期公司检测安装的redis有未授权访问漏洞。

2.方法

1)单节点redis配置

修改redis的配置文件 redis.conf
在里面增加一行

requirepass changeme

然后重启redis,其他客户端再连接此redis时,就需要输入密码了。

2)主从redis配置

先在主节点的配置文件 redis.conf
在里面增加一行

requirepass changeme

然后在从节点的配置文件中增加两行

masterauth changeme
requirepass changeme

然后分别重启主从节点即可。

3)哨兵配置

在哨兵的配置文件 sentinel.conf
中增加一行

sentinel auth-pass mymaster changeme

然后重启哨兵即可。

JustDI-CM
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 连接redis_Redis漏洞的功守道:搭建实验环境、攻击类型及入侵检测和防范
weixin_39647471的博客
11-23 243
Redis漏洞的功守道 Redis在大公司被大量应用,通过笔者的研究发现,目前在互联网上已经出现Redis授权病毒似自动攻击,攻击成功后会对内网进行扫描、控制、感染以及用来进行挖矿、勒索等恶意行为,早期网上曾经分析过一篇文章"通过redis感染linux版本勒索病毒的服务器"(http://www.sohu.com/a/143409075_765820),如果公司使用了Redis,那么应当给予...
redis 授权访问漏洞详解
m0_69043895的博客
04-22 1241
1、redis 绑定在6379端口,且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略,直接暴露在公网。2、没有设置密码认证(默认密码为空),可以免密码远程登录redis服务。
Redis授权访问漏洞复现
最新发布
qq_57817668的博客
06-10 1005
Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSIC语言编写、支络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。
Java安全漏洞:Druid授权访问解决
热门推荐
qq_46119575的博客
01-04 2万+
Java安全漏洞:Druid授权访问解决
Redis授权四种利用方式与修复方案
qq_45234543的博客
11-08 5102
想整理一波Redis利用方式,在内网中很容易遇见(方便运维人员) 简介:redis是一个key-value存储系统,nosql - 非关系型数据库,支持存储的value类型相对更多,包括string、list、set、zset和hash。这些数据类型都支持push/pop、add/remove及交并差和更丰富的操作,且操作都是原子性。为了保证效率,数据都是缓存在内存中,区别是redis会周期性的把更新的数据写入磁盘或者把修改写入追加的记录文件,并在这个基础上实现了master-slave(主从)同步
redis授权访问漏洞修复方案
午夜安全
01-16 1万+
1.redis授权访问漏洞 通过redis授权访问漏洞,会造成敏感信息泄露,甚至被利用直接控制服务器,其危害不言而喻。但是在实际工作中,发现一些开发人员和运维人员并不知道如何妥善配置。因此有了本文,对redis配置,建议就是2条,一个就是改强密码,一个就是改端口。 2.redis改密码和端口 给redis设置密码,密码应该由字母、数字、特殊符号组成。像123456,qwer1234这种弱口令肯定不合适,而Q1w@e3r4这种也不合适,因为它太随机、用的人太多,一般密码字典都会收录。所以密码的设置
redis桌面客户端redis-desktop-client-master.zip
05-01
- **安全考虑**:为Redis设置访问控制,避免暴露在公网,防止授权访问。 - **版本更新**:定期检查Redis Desktop Client的更新,以获取最新的功能和修复的安全漏洞。 5. **进阶使用**: - **Lua脚本支持**:...
Java项目之校园零食预约管理系统(源码)
05-30
此外,为了保障系统的安全性,开发者需遵循最佳实践,如对敏感数据进行加密,防止SQL注入和XSS攻击,以及进行定期的安全审计和漏洞修复。 总的来说,"Java项目之校园零食预约管理系统"是一个集成了Java后端开发、...
【面试资料】-(机构内训资料)Redis面试题(含答案)_.zip
09-06
2. 安全实践:避免暴露在公网,使用防火墙限制访问,定期更新版本以修复安全漏洞。 通过学习和理解以上知识点,你将能够全面地应对Redis相关的面试问题,展现出自己在缓存管理、高性能存储以及分布式系统设计方面的...
商业编程-源码-Kacd留言本 v1.1.zip
06-21
针对大流量网站,Kacd留言本可能采用缓存技术(如Redis或Memcached)来减少数据库访问压力,提高系统响应速度。此外,合理的数据库索引设计和代码优化也是提升性能的重要手段。 10. **版本控制与部署**: 开发...
apache-tomcat-8.5.84
01-17
然而,这些工具需要在Tomcat配置文件中启用并分配权限,以防止授权访问。 在实际生产环境中,Tomcat通常与其他组件一起使用,如数据库、缓存服务器、负载均衡器等,构建完整的Web服务架构。例如,它可以与...
Java后端调用http接口时,接口返回401授权,需要设置权限
weixin_43062763的博客
01-10 2884
Java后端调用http接口时,接口返回401授权,需要设置权限
Java redis 暴力破解漏洞 简单限制用户登录
zhongzih的博客
05-29 310
处理方案 redis 设置对应的缓存有效期为60秒。然后每次登录的时候查询登录失败次数。超过5次不查询数据库,直接返回报错。漏洞名称:暴力破解漏洞
redis授权访问漏洞的三种场景复现以及加固思路
小王的储物间
02-10 1672
redis是一个非常快速的,开源的,支持网络,可以基于内存,也可以持久化的日志型,非关系型的键值对数据库。并提供了多种语言的api。有java,c/c++,c#,php,JavaScript,perl,object-c,python,ruby,erlang等客户端,使用方便。redis授权访问漏洞是一个由于redis服务器版本较低,并设置登陆密码所导致的漏洞,攻击者可以直接利用redis服务器的ip地址和端口完成对redis服务器的远程登陆,对目标服务器完成后续的控制和利用。
Redis授权访问漏洞搭建复现
m0_58595840的博客
01-05 2751
Redis授权访问漏洞利用方式总结(含靶场搭建)
漏洞复现之Redis授权访问
m0_56190544的博客
09-13 1843
本文详细介绍了redis授权访问漏洞的原理以及利用方法,供大家参考学习
redis_授权访问
scu_hacker博客
01-13 7738
本文介绍redis授权访问的4种利用方式
Redis授权访问漏洞复现的(三种方式)
永不垂头的博客
12-30 3529
Redis授权访问漏洞复现(三种方式) 一、Redis介绍 Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivotal赞助。 二、漏洞简介及危害 漏洞简介 Redis配置不当就会导致授权访问。在默认情况下,Redis会绑定在 0.0.0.0:6379。如果没有采用相关的策略,比如添加防火墙规则避免其他非信
Redis 授权访问漏洞利用及修复
Thunderclap的博客
06-25 3915
Redis 授权访问漏洞利用及修复
redis授权访问漏洞修复
11-03
修复Redis授权访问漏洞,可以采取以下措施: ``` 代码块1: 1. 修改redis.conf配置文件,将bind 127.0.0.1改为bind 0.0.0.0,这样Redis只会监听本机的IP地址,而不是所有的IP地址。 2. 设置Redis密码,可以在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值