Redis 有哪些危险命令?如何防范?

最新推荐文章于 2024-03-21 11:38:38 发布
最新推荐文章于 2024-03-21 11:38:38 发布
阅读量1.4k 收藏 4
点赞数 1
文章标签: redis 缓存 数据库 危险命令 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dd2016124/article/details/113869000
版权

Redis 有哪些危险命令?

Redis 的危险命令主要有以下几个:

1. keys

客户端可查询出所有存在的键。

2. flushdb

删除 Redis 中当前所在数据库中的所有记录,并且此命令从不会执行失败。

3. flushall

删除 Redis 中所有数据库中的所有记录,不止是当前所在数据库,并且此命令从不会执行失败。

4. config

客户端可修改 Redis 配置。

怎么禁用和重命名危险命令?

看下 redis.conf 默认配置文件,找到 SECURITY 区域,如以下所示。

看说明,添加 rename-command 配置即可达到安全目的。

1)禁用命令

 

2)重命名命令

上面的 XX 可以定义新命令名称,或者用随机字符代替。

经过以上的设置之后,危险命令就不会被客户端执行了。

 

花小疯
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Redis有哪些功能?
01-30
单台服务器资源总是有上限的,CPU和IO资源可以通过主从复制,进行读写分离,把一部分CPU和IO的压力转移到从服务器上,但是内存资源怎么办,主从模式只是数据的备份,并不能扩充内存; 现在我们可以横向扩展,让每台...
Redis危险命令禁用keys、flushdb、flushall及解决方案
热门推荐
青衣煮茶
07-13 1万+
Redis危险命令主要有以下几个 keys 查找所有符合给定模式pattern(正则表达式)的 key 。 时间复杂度为O(N),N为数据库里面key的数量。 速度极快,在一百万的key数据库中查询时间大约是40毫秒。 redis> MSET one 1 two 2 three 3 four 4 OK redis> KEYS *o* 1) "four" 2) "one" 3...
如何安全的使用Redis
Climber813
05-07 442
Redis的安全隐患 线上运行的 Redis 服务主要有哪些安全隐患呢? 和 MySQL 不同,Redis 默认是没有配置密码认证的,如果为了方便运维,开放了监听的客户端地址限制(默认只监听来自 127.0.0.1 的请求),则相当于把 Redis 服务裸跑在公网服务器上,所有人都可以通过默认的 6379 端口与之建立连接并发送请求,甚至运行 flushdb 之类的命令清空 Redis 数据库的所有内容,是不是细思极恐? 此外,如果应用使用了 Redis 构建缓存系统,通常会在应用发布内容后新增缓存,.
Redis核心原理和应用实践】拓展 8:居安思危 —— 保护 Redis
通往神秘的道路的专栏
12-29 336
本节我们来谈谈使用 Redis 需要注意的安全风险以及防范措施,避免数据泄露和丢失,避免所在主机权限被黑客窃取,以及避免人为操作失误。 指令安全 Redis 有一些非常危险的指令,这些指令会对 Redis 的稳定以及数据安全造成非常严重的影响。比如 keys 指令会导致 Redis 卡顿,flushdb 和 flushall 会让 Redis 的所有数据全部清空。如何避免人为操作失误导致这...
redis 公网 安全_请务必注意 Redis 安全配置,否则将导致轻松被入侵
weixin_39742065的博客
12-21 429
改了下标题,不吸引人都没人看一、前言前段时间,在做内网影响程度评估的时候写了扫描利用小脚本,扫描后统计发现,内网中 60% 开放了 redis6379 端口的主机处于可以被利用的危险状态,因为都是一些默认配置造成的考虑到本社区大部分开发者都会使用 redis,特此分享下以便大家可以对自己公司的内网进行一个排查。二、漏洞介绍Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Re...
Redis安全策略
weixin_30381793的博客
08-05 554
1. 开启redis密码认证,并设置高复杂度密码 描述 redisredis.conf配置文件中,设置配置项requirepass, 开户密码认证。 redis因查询效率高,auth这种命令每秒能处理9w次以上,简单的redis的密码极容易为攻击者暴破。 检查提示 -- 加固建议 打开redis.conf,找到requirepass所在的地方,修改为指定的密码,密码应符合复杂性要求: ...
实战解析居安思危的Redis拓展—保护Redis,为Redis安全保驾护航
python6_quanzhan的博客
06-20 368
今天这篇我们来谈谈使用 Redis 需要注意的安全风险以及防范措施,避免数据泄露和丢失, 避免所在主机权限被黑客窃取,以及避免人为操作失误。进而为Redis的通信安全做保障。 拓展 6:居安思危 —— 保护 Redis 指令安全 Redis 有一些非常危险的指令,这些指令会对 Redis 的稳定以及数据安全造成非常严重的影响。比如keys指令会导致 Redis 卡顿,flushdb和flushall会让 Redis 的所有数据全部清空。如何避免人为操作失误导致这些灾难性的后果也是运维人员特别...
redis禁止几个危险命令的方法
09-09
Redis 是一个高性能的键值数据库...总之,Redis 的安全性需要多方面的考虑,包括但不限于禁止危险命令、启用适当的持久化模式、设置合理的权限以及定期备份。在生产环境中,应谨慎操作,以防止因误操作导致的数据损失。
Redis 的持久化机制有哪些??
最新发布
04-26
Redis 的持久化机制有哪些??
Redis禁用命令危险命令及规避方法
09-10
总的来说,了解Redis危险命令并采取相应的防范措施是保障系统稳定性和数据安全的重要步骤。通过禁用或重命名这些命令,可以有效地避免因误操作导致的严重后果。在日常运维中,应始终遵循最小权限原则,并定期审计...
一个致命的 Redis 命令,导致公司损失 400 万
lelemom的博客
10-04 293
原文地址          血的教训啊~要引以为戒 危险命令有哪些??? Redis危险命令主要有以下几个: keys 客户端可查询出所有存在的键。对 Redis 稍微有点使用经验的人都知道线上是不能执行 keys * 相关命令的,虽然其模糊匹配功能使用非常方便也很强大,在小数据量情况下使用没什么问题,数据量大会导致 Redis 锁住及 CPU 飙升,在生产环境建议禁用或者重命名...
Redis常见风险分析
WangYouJin321的博客
11-03 395
概念:Redis缓存层由于某种原因宕机后,所有的请求会涌向存储层,短时间内的高并发请求可能会导致存储层挂机,称之为“Redis雪崩”。概念:在Redis获取某一key时, 由于key不存在, 而必须向DB发起一次请求的行为, 称为“Redis击穿”。
Redis之安全措施
cainiao1412的博客
01-09 2802
指令安全 Redis的一些指令会对Redis服务的稳定性及安全性各方面造成影响,例如keys指令在数据量大的情况下会导致Redis卡顿,flushdb和flushall会导致Redis的数据被清空。 Redis在配置文件中提供了 rename-command 指令用于将一些危险的指令修改成其他指令,例如: rename-command keys xxxnxxx 复制代码 将 keys 指令修改为 xxxnxxx 指令,这样需要执行 keys 指令的时候,输入 xxxnxxx 才是对的效果,以此可以
Redis危险命令防范:保障数据安全的必备知识
让每个人用好数据和云
03-21 1217
在本次的最佳实践中,NineData 为 Redis 提供了细粒度的权限管控、限制开发人员直连数据库、简化 Redis 危险命令的管理和执行过程等安全能力,有效防止命令滥用和误操作带来的变更风险。上述能力其实只是 NineData 的冰山一角,相关的安全功能还有很多,例如审计日志功能,可以记录每个用户每一次操作的详情,帮助管理员及时发现和解决安全问题,同时便于回溯追责。目前针对中小企业,NineData推出SQL开发专业版:10数据源永久免费。
17.Redis 一些危险命令
weixin_44346687的博客
09-17 585
Redis危险命令主要有一下几个: keys 客户端可查询所有的存在的键。 flushdb 删除 Redis 中当前所在数据库中的所有记录,并且此命令从不会执行失败。 flushall 删除 Redis 中所有数据库中的所有记录,不只是当前所在数据库,并且此命令从不会执行失败。 config 客户端可修改 Redis 配置。 防范措施: 在 redis.conf 默认配置文件,找到 SECURITY 区域,添加 rename-command 配置可以禁用和重命名命令,经过以下的配置以后,危险命令就不
Redis】生产环境下的需要限制的危险命令
秃头不用洗发水的博客
05-16 299
查看当前库所有key,该命令在生产环境应该禁用,会一次性全部遍历所有的key,由于时间复杂度是O(n),且Redis命令是原子的,Redis工作线程是单线程的,key数量庞大会导致Redis卡顿,所有读写操作将会延后甚至超时报错,可能引起缓存雪崩甚至数据库宕机。如果AOF或RDB(持久化)中包含了需要禁用的命令Redis会启动不起来,需要删除AOF以及RDB文件。清空整个 Redis 服务器的数据(删除所有数据库的所有 key )清空当前数据库中的所有 key命令
速看!又一个 Redis 高危漏洞,可植入隐秘后门允许命令执行
easylife206的专栏
12-11 576
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !被研究人员称之为Redigo的一种基于Go的新的恶意软件,它一直针对有CVE-2022-0543漏洞的Redis服务器并植入一个隐秘的后门允许命令执行。CVE-2022-0543是Redis(远程字典服务器)软件中的一个关键漏洞,具有非常高的威胁性。它在2022年2月被发现并修复。修复几个月后,仍有攻击者继续在未打补...
Redis 高危命令禁用
rs勿忘初心的博客
03-11 1780
目录 一、问题描述 二、改进方案 1、流程规范 2、SCAN命令 批量删除scan命令 三、小结 一、问题描述 听说有个老哥在Redis中执行了一条命令导致服务宕机,老大说:谁再用redis 的 keys命令,立刻给我走人.... 先看现象: redis-cli keys * | args redis-cli del (error) ERR network error (30.00s) 什么???执行了一条 keys xxxxx* 命令,令数据库宕机了。 上面这条keys 模糊
Redis 禁用 危险命令
MR.骑士道
03-22 3910
Redis 禁用 危险命令
Redis有哪些应用场景?
05-09
Redis是一种高性能的内存中数据结构存储系统,常用于缓存、消息队列、分布式锁、计数器、排行榜等场景。 以下是一些常见的Redis应用场景: 1. 缓存:将常用的数据缓存Redis中,可以有效减轻数据库的负担,提高系统的读取效率。 2. 消息队列:Redis支持发布/订阅模式,可以作为消息队列的实现。 3. 分布式锁:Redis的setnx命令可以实现分布式锁,可以保证在分布式环境下的数据一致性。 4. 计数器:Redis的incr/decr命令可以实现计数器的功能。 5. 排行榜:Redis的有序集合可以实现排行榜的功能,可以根据分数排序,并支持范围查询。 6. 实时数据处理:Redis支持数据持久化,可以将实时产生的数据存储到Redis中,进行实时处理。 7. 地理位置服务:Redis的地理位置功能可以存储经纬度信息,并支持范围查询,可以实现地理位置服务。 总之,Redis缓存、消息队列、分布式锁、计数器、排行榜等方面都有广泛的应用,可以大大提高系统的性能和效率。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值