redis常见安全防护策略及故障排除

最新推荐文章于 2024-05-31 09:21:25 发布
最新推荐文章于 2024-05-31 09:21:25 发布
阅读量1.9k 收藏 21
点赞数 18
分类专栏: redis 文章标签: redis 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/id_wxq/article/details/127048238
版权

1.Redis中线上使用keys *命令,也是非常危险的。因此线上的Redis必须考虑禁用一些危险的命令,或者尽量避免谁都可以使用这些命令,Redis没有完整的管理系统,但是也提供了一些方案。

修改 redis.conf 文件,添加

rename-command FLUSHALL ""
rename-command FLUSHDB  ""
rename-command CONFIG   ""
rename-command KEYS     ""
rename-command SHUTDOWN ""
rename-command DEL ""
rename-command EVAL ""

然后重启redis。 重命名为"" 代表禁用命令,如想保留命令,可以重命名为不可猜测的字符串,如: rename-command FLUSHALL 9741c7fcae9f869d

2.redis内存增长过快,查询哪个key值占用内存

redis是基于内存的KV数据库,内存作为存储介质,关注其内存的使用情况是一个重要指标,解析其内部的存储信息是给出优化方法和维护的最基本要求。

解析内存有二种方法:

第一个是通过scan遍历所有key,针对每个key进行分析(memory usage);

第二个是基于RDB文件进行所有key的分析(redis-rdb-tools)。

本文将介绍如何使用rdbtools工具。
rdbtools工具包括了3个可执行文件:
rdb -- 解析整个rdb文件

redis-memory-for-key -- 解析server里的单个key

redis-profiler --解析rdb文件成html格式


rdb是rdbtools工具包其中之一的工具,也是解析dump.rdb文件的工具:分析内存并将数据导出到JSON,Rdbtools是Redis的dump.rdb文件的解析器,解析器生成类似于xml。rdbtools提供了以下实用程序:

  1. 生成所有数据库和键中数据的内存报告
  2. 将转储文件转换为JSON
  3. 使用标准差异工具比较两个转储文件

安装 rdbtools:

1.安装pip:
yum -y install epel-release python-pip
pip install --upgrade pip

2.安装rdbtools (python-lzf :加快解析速度)
pip install rdbtools python-lzf 

安装完后拷贝rdb文件到一台测试机器上,尽量不要在线上运行。
用rdbtools工具生产内存报告,命令是 rdb -c memory,例子:
sudo rdb -c memory  ./dump.rdb >test.csv
.报告生成后,结合用linux sort命令排序,根据內存列排序,找出最高的key有哪些。例子:
sudo sort -k4nr -t , test.csv > sort.txt
查看sort.txt的结果,一般能得出类似‘my_ranking_list’开头的集合占用最高,排在了前面。若要查看类似‘my_ranking_list’开头的总共占用了多少内存,可以用命令:
sudo cat sort.txt | grep ‘my_ranking_list’ | awk -F ',' '{sum += $4};END {print sum}'

查询到大key就可以分析为什么会越来越大了。

3.redis开启保护模式。

配置文件没有指定bind和密码,开启该参数后,redis只能本地访问,拒绝外部访问。

redis.conf安全设置: # 打开保护模式 protected-mode yes

禁止监听在公网

Redis监听在0.0.0.0,可能导致服务对外或内网横向移动渗透风险,极易被黑客利用入侵。

在redis的配置文件redis.conf中配置如下: bind 内网IP,然后重启redis

4.root权限

使用root权限去运行网络服务是比较有风险的(nginx和apache都是有独立的work用户,而redis没有)

redis crackit 漏洞就是利用root用户的权限来替换或者增加authorized_keys,来获取root登录权限的

使用root切换到redis用户启动服务

useradd -s /sbin/nolog -M redis 
sudo -u redis /<redis-server-path>/redis-server /<configpath>/redis.conf

5.限制redis 配置文件访问权限 

因为redis密码明文存储在配置文件中,禁止不相关的用户访问改配置文件是必要的,设置redis配置文件权限为600

chmod 600 /<filepath>/redis.conf

6.修改端口

编辑文件redis的配置文件redis.conf,找到包含port的行,将默认的6379修改为自定义的端口号,然后重启redis

id_wxq
关注
  • 18
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
redis安全防护
qq_40907977的博客
06-17 5399
edis没有实现访问控制这个功能,但是它提供了一个轻量级的认证方式,可以编辑redis.conf配置来启用认证。 *Redis 未授权访问漏洞,Redis设置认证密码加固建议 防止这个漏洞需要修复以下三处问题 第一: 修改redis绑定的IP 如果只在本机使用redis服务那么只要绑定127.0.0.1 如果其他主机需要访问redis服务那么只绑定客户主机所在网络的接口 最好不要绑定0.0.0.0 另外需要通过主机内置的防火墙如iptables,或者其他外置防火墙禁止非业务主机访问redis服务 第二:
Redis学习笔记】12.禁用或重命名危险命令
运维技术博客
03-17 1778
禁用或重命名危险命令1. 禁用危险命令2. 重命名危险命令 1. 禁用危险命令 # 在配置文件中添加 rename-command KEYS "" rename-command SHUTDOWN "" rename-command CONFIG "" rename-command FLUSHALL "" 2. 重命名危险命令 # 在配置文件中添加 rename-command KEYS "all" rename-command SHUTDOWN "shtd" rename-command DEL "bye
Redis禁用危险命令
A169388842的博客
09-25 6235
一: Redis线上不能使用危险的命令 1:keys * 虽然其模糊匹配功能使用非常方便也很强大,在小数据量情况下使用没什么问题,数据量大会导致 Redis 锁住及 CPU 飙升,在生产环境建议禁用或者重命名! 2:flushdb 删除 Redis 中当前所在数据库中的所有记录,并且此命令从不会执行失败 3:flushall 删除 Redis 中所有数据库中的所有记录,不只是当前所在数据...
redis】宝塔,线上环境报Redis error: ERR unknown command del 错误
最新发布
sinat_36891648的博客
05-31 478
1.打开宝塔上的redis,通过配置文件修改权限,注释:#rename-command DEL “”找到redis.conf,拉到最后,注释#rename-command DEL “”,就可以。2.打开服务器,宝塔中默认redis安装位置是:cd /www/server/redis
redis-server监听配置
sujin的博客
04-09 2787
Redis监听在0.0.0.0,可能导致服务对外或内网横向移动渗透风险,极易被黑客利用入侵。 操作时建议做好记录或备份 加固建议 Redis监听在0.0.0.0,可能导致服务对外或内网横向移动渗透风险,极易被黑客利用入侵,建议监听在: 127.0.0.1或内网地址。如业务需要监听外网,请配置防火墙安全策略。 ...
redis不要以root权限启动(linux)
lanren312的博客
06-13 1731
redis默认启动方法都是以root启动的,不安全,现在创建一个新的用户来启动。
Redis集群部署及增加安全性验证
01-09
Redis单机之前已经进行了安装,现在我们通过一台虚拟机创建六个实例进行伪集群搭建并为集群添加安全性验证。 系 统:Redhat7.0 数据库Redis5.0.8 Redis单机安装点击此处,这里不再描述。 下面我们直接开展集群的...
redis安全配置基线.xlsx
05-24
redis安全配置基线.xlsx
redis面试题之删除策略.zip
04-18
面试中,Redis 的知识常常是考察重点,尤其是它的数据删除策略,这直接关系到 Redis 的性能和内存管理。下面我们将深入探讨 Redis 的删除策略。 一、Redis 的数据类型与过期策略 Redis 提供了五种基本数据类型:...
关于redis Key淘汰策略的实现方法
09-09
Redis 中,当内存使用达到预设的最大值(`maxmemory`)时,为了保持内存占用在可控范围内,Redis 提供了多种键淘汰策略。这些策略用于决定在内存不足时哪些键应该被删除,以便为新数据腾出空间。本文将详细介绍 ...
Redis安全基线文档
05-10
Redis安全基线
redis-6.2.1 sentinel 部署脚本
a1808862593的博客
06-28 145
直接执行即可,执行中需要交互输入主节点IP,需访问公网
Docker部署redis-sentinel高可用性(HA)解决方案
赵健乔的技术Blog
04-01 3885
封装Docker镜像 创建Dockerfile 操作系统镜像采用debian:jessie-slim瘦身版 redis源码采用最新的stable版本,端口采用6379 FROM debian:jessie-slim # add our user and group first to make sure their IDs get assigned consistently, regardless...
Redis服务安全加固
qq_40907977的博客
02-09 3204
转载来源 : https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186623.4.4.674b4b12XmJSTD 一.背景描述 1.漏洞描述 Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用。 在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件,直接通...
Redis - 扩展 - 操作安全
哆啦A梦
01-05 196
1、指令安全 Redis有一些非常危险的指令,这些指令会对Redis的稳定以及数据安全造成非常严重的伤害,比如keys指令会导致Redis卡顿,影响Redis正常使用,flushdb与flushall会让Redis的所有数据清空。 1)Redis在配置文件中提供了rename-command,将一些指令修改成特别的名称,避免人为误操作,入 rename-command keys abckeys...
Redis服务的安全解决方案
liuerpeng1904的博客
10-11 1831
执行以下命令修改配置文件权限:(表示只有拥有者可读可写)
Redis安全设置
weixin_39523456的博客
11-24 1471
目录 一、模拟一次redis攻击事件 二、安全设置 1.requirepass 2.rename-command配置使用 3.防火墙 4.bind 5. port 一、模拟一次redis攻击事件 机器1: ssh-keygen -t rsa cat .ssh/id_rsa.pub 内容作为key: crackit键的value值 机器2: redis配置: 1.port 6379 2.requirepass "" 3.bind 0.0.0.0 或 "" 4.以root用户启动 ...
Linux:阿里云 ECS Redis 安全设置
木头
10-27 684
博客地址:http://www.lsk-ww.cn:8080添加链接描述 1、打开保护模式 redis默认开启保护模式。要是配置里没有指定bind和密码,开启该参数后,redis只能本地访问,拒绝外部访问。 redis.conf安全设置: # 打开保护模式 protected-mode yes 2、开启Redis密码认证,添加复杂密码 redisredis.conf配置文件中,设置配置项req...
Redis持久化深度解析:数据安全策略
Redis持久化是数据库管理系统中的一项关键功能,用于在服务器...Redis的持久化策略包括主动和被动两种方式,如RDB快照和AOF日志,以在不同情况下保证数据的安全性。理解这些机制对于正确配置和维护Redis服务至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值