Redis加固方案之一

最新推荐文章于 2024-05-22 10:29:19 发布
最新推荐文章于 2024-05-22 10:29:19 发布
阅读量648 收藏 2
点赞数 1
分类专栏: linux 文章标签: linux redis 安全 加固
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hotlinhao/article/details/99716142
版权

禁用或重命名危险命令【高危】

描述:

Redis中线上使用keys *命令,也是非常危险的。因此线上的Redis必须考虑禁用一些危险的命令,或者尽量避免谁都可以使用这些命令,Redis没有完整的管理系统,但是也提供了一些方案。

加固建议

修改 redis.conf 文件,添加 ```

rename-command FLUSHALL ""

rename-command FLUSHDB  ""

rename-command CONFIG   ""

rename-command KEYS     ""

rename-command SHUTDOWN ""

rename-command DEL ""

rename-command EVAL "" ```

然后重启redis。 重命名为"" 代表禁用命令,如想保留命令,可以重命名为不可猜测的字符串,如: `rename-command FLUSHALL  joYAPNXRPmcarcR4ZDgC`

------------------------------------------------------------------------------------------------------------------------------

限制redis 配置文件访问权限 | 文件权限 【高危】

描述 因为redis密码明文存储在配置文件中,禁止不相关的用户访问改配置文件是必要的,设置redis配置文件权限为600,

 加固建议

执行以下命令修改配置文件权限:

chmod 600 /<filepath>/redis.conf

------------------------------------------------------------------------------------------------------------------------------

修改默认的6379端口【高危】

描述

避免使用熟知的端口,降低被初级扫描的风险

加固建议

编辑文件redis的配置文件redis.conf,找到包含port的行,将默认的6379修改为自定义的端口号,然后重启redis

---------------------------------------------------------------------------------------------------------------------------------

开启redis密码认证,并设置高复杂度密码 | 身份鉴别【高危】

描述

redis在redis.conf配置文件中,设置配置项requirepass, 开户密码认证。 redis因查询效率高,auth这种命令每秒能处理9w次以上,简单的redis的密码极容易为攻击者暴破。

加固建议

打开redis.conf,找到requirepass所在的地方,修改为指定的密码,密码应符合复杂性要求:

 1、长度8位以上

2、包含以下四类字符中的三类字符: 英文大写字母(A 到 Z) 英文小写字母(a 到 z) 10 个基本数字(0 到 9) 非字母字符(例如 !、$、#、%、@、^、&)

3、避免使用已公开的弱密码,如:abcd.1234 、admin@123等 ```

再去掉前面的#号注释符,然后重启redis

-----------------------------------------------------------------------------------------------------------------------------------

禁止使用root用户启动 | 访问控制【高危】

描述

使用root权限去运行网络服务是比较有风险的(nginx和apache都是有独立的work用户,而redis没有)。redis crackit 漏洞就是利用root用户的权限来替换或者增加authorized_keys,来获取root登录权限的

加固建议

使用root切换到redis用户启动服务:

useradd -s /sbin/nolog -M redis

sudo -u redis /<redis-server-path>/redis-server /<configpath>/redis.conf

-----------------------------------------------------------------------------------------------------------------------------------

禁止监听在公网 | 访问控制 【高危】

描述

Redis监听在0.0.0.0,可能导致服务对外或内网横向移动渗透风险,极易被黑客利用入侵。

加固建议

在redis的配置文件redis.conf中配置如下: bind 127.0.0.1或者内网IP,然后重启redis

-----------------------------------------------------------------------------------------------------------------------------------

打开保护模式 | 访问控制 【高危】

描述 redis默认开启保护模式。要是配置里没有指定bind和密码,开启该参数后,redis只能本地访问,拒绝外部访问。

加固建议

redis.conf安全设置:

# 打开保护模式 protected-mode yes

操作时建议做好㥆或备份

hotlinhao
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Redis服务安全加固
qq_40907977的博客
02-09 3185
转载来源 : https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186623.4.4.674b4b12XmJSTD 一.背景描述 1.漏洞描述 Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用。 在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件,直接通...
Redis 禁用FLUSHALL FLUSHDB KEYS 命令
fwdwqdwq的博客
08-23 807
需要注意的一点是,rename-command命名无法直接对线上集群生效。如果需要使用rename-command,必须重启集群。原文链接:http://shitouer.cn/2013/10/redis-forbid-flush/Redis提供了非常简单且有效的方法,直接在配置文件中设置禁用这些命令。FLUSHALL FLUSHDB 命令会清空数据,而且从不失败,对于线上集群非常危险。KEYS * 命令,当数据规模较大时使用,会严重影响Redis性能,也非常危险。所以建议一开始,就将该配置配置好。
服务器漏洞安全修复记录
最新发布
lxw1844912514的博客
05-22 525
Redis中线上使用keys *命令是非常危险的,应该禁用或者限制使用这些危险的命令,可降低Redis写入文件漏洞的入侵风险。描述:设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。例如,在一个简单的 bash 脚本中,你可以检查用户输入的命令,如果是。重命名为一个难以猜测的命令,以此来减少恶意用户利用默认命令执行未授权操作的风险。但是,需要注意的是,Redis 并没有提供完全禁用命令的机制。命令,你可以考虑修改 Redis 源代码,从源头上移除。
redis访问安全加固
weixin_33775582的博客
06-21 136
目录 redis漏洞 入侵特征 安全隐患 redis安全规范 禁止root用户启动 限制redis文件目录访问权限 开启密码认证,设置复杂密码 禁用或重命名危险命令 设置允许监听地址,不要使用0.0.0.0 尽量修改默认端口6379 信任的内网运行,尽量避免有公网访问 Redis漏洞   Redis 默认情况下,会绑定在 0.0.0....
redis数据库/安全加固
qq_69613156的博客
10-08 1151
修改主要配置文件,更改默认配置,提高redis安全性。
Redis安全加固
qq_43590351的博客
10-13 2175
redis安全加固
Redis数据库安全加固
人生就是不断地学习
10-20 642
加固文档适用于Redis数据库。明确了Redis数据库安全配置方面的基本要求。
Redis集群方案.docx
01-07
Redis 集群方案是为了应对单实例Redis在处理大规模数据时面临的存储瓶颈,尤其是在像新浪微博这样的大型应用中,单实例无法满足超过TB级的数据存储需求。Redis 3.0及之后的版本开始支持官方的集群功能,但在那之前,...
Codis分布式Redis解决方案-其他
06-12
Codis是一个分布式Redis解决方案,对于上层的应用来说,连接到CodisProxy和连接原生的RedisServer没有明显的区别(不支持的命令列表),上层应用可以像使用单机的Redis一样使用,Codis底层会处理请求的转发,不停机的...
Redis的持久化方案
04-03
很不错的redis持久化详细方案书籍,能帮助初学者快速的入门redis框架和运用。
redis加固.pdf
03-15
redis加固
Redis禁用命令、危险命令及规避方法
01-21
FLUSHALL FLUSHDB 命令会清空数据,而且从不失败,对于线上集群非常危险。 KEYS * 命令,当数据规模较大时使用,会严重影响Redis性能,也非常危险。 如果从根本上规避这些风险呢? Redis提供了非常简单且有效的方法,直接在配置文件中设置禁用这些命令。设置非常简单,如下 代码如下: rename-command FLUSHALL “” rename-command FLUSHDB “” rename-command KEYS “” 需要注意的一点是,rename-command命名无法直接对线上集群生效。如果需要使用rename-command,必须重启集群。 所以建议一
springboot中集成redis方案
02-09
文档中一步步的详细描述了如何集成springboot的方案,通过文档可以顺利集成这个redis方案
安全加固----十三、Redis服务安全加固
七天
07-07 929
文章目录二.修复方案1、网络层加固2、设置防火墙策略3、账号与认证4、服务运行权限最小化5、服务精细化授权6、安全补丁 # 一、Redis简介 Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用。 Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读
Redis安全加固策略:配置文件权限设置 & 配置本地日志存储目录 & 连接超时时间限制
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
03-03 1万+
Redis安全加固策略:配置文件权限设置 & 配置本地日志存储目录 & 连接超时时间限制
redis安全加固方案
weixin_33807284的博客
11-23 586
2019独角兽企业重金招聘Python工程师标准>>> ...
Redis安全加固策略:服务账号管理 & 开启redis密码认证 & 开启防护模式
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
03-03 1万+
Redis安全加固策略:服务账号管理 & 开启redis密码认证 & 开启防护模式
Redis服务安全加固的说明
永远在学习Linux之路上
02-13 245
Redis(全称:Remote Dictionary Server 远程字典服务)是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 漏洞描述 Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用。 在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件...
Redis生产环境安全加固条规
ChineseSoftware的博客
01-19 2474
禁止操作系统超级用户启动和停止redis-server 禁止redis-server监听0.0.0.0的地址 禁止密码明文存储 禁止在redis中保存敏感信息 配置redis示例max-memory,限制其最大内存,配置策略清理策略 配置实例目录权限和属组,一般目录为700,文件为600 配置节点iptables,限制访问redis-server的客户端ip 配置redis日志清理策略,防止磁盘空间占满 禁止不使用的高危命令,重命名其他需要使用的高危命令 使用非默认端口和非默认集群端口,比如单机默认是63.
LinuxRedis服务安全加固
06-07
为了保证LinuxRedis服务的安全性,可以考虑以下几个方面进行加固: 1. 修改Redis默认端口号:默认情况下,Redis使用的端口是6379,这个端口比较容易被攻击者扫描到,因此建议修改默认端口号。 2. 配置Redis密码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值