使用滴滴云DC2,在CentOS7安装Redis并进行安全加固

最新推荐文章于 2021-08-05 08:01:43 发布
最新推荐文章于 2021-08-05 08:01:43 发布
阅读量208 收藏 1
点赞数
分类专栏: 云计算 开源 文章标签: Redis 分布式存储 滴滴云 CentOS 云安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java060515/article/details/83993776
版权

简介

Redis是开源的内存数据库,并以其良好的灵活性、性能、可扩展性与兼容性著称。

Redis本身被设计成客户端授信的环境下进行访问,服务本身并没有强大的安全功能。但是也具有一些关于安全的基本功能,包括访问密码、命令的重命名与屏蔽等能力。本教程提供了如何配置这些安全功能的说明,并且包含CentOS7上能够为Redis提供的安全特性。

请注意,本文档不涉及分布式与跨地域的Redis集群。

环境准备

本教程使用滴滴云DC2环境进行部署,不同环境部署可能略有不同。

安装Redis

以yum方式安装CentOS7支持的Redis默认版本(如需其他版本则需要从redis.io进行下载):

$ sudo yum install redis -y

整个操作过程使用默认用户即dc2-user进行操作

完成安装后,启动Redis服务:

$ sudo systemctl enable redis

如需在系统启动时启动Redis服务,可执行如下命令:

$ sudo systemctl enable redis

执行如下命令,查看Redis服务状态:

$ sudo systemctl status redis.service

输出内容如下:

● redis.service - Redis persistent key-value database
   Loaded: loaded (/usr/lib/systemd/system/redis.service; disabled; vendor preset: disabled)
  Drop-In: /etc/systemd/system/redis.service.d
           └─limit.conf
   Active: active (running) since Thu 2018-11-08 17:20:58 CST; 15s ago
 Main PID: 21637 (redis-server)
   CGroup: /system.slice/redis.service
           └─21637 /usr/bin/redis-server 127.0.0.1:6379

Nov 08 17:20:58 10-255-20-202 systemd[1]: Starting Redis persistent key-value database...
Nov 08 17:20:58 10-255-20-202 systemd[1]: Started Redis persistent key-value database.

一旦确认服务已启动,可使用如下命令进行测试:

$ redis-cli ping

屏幕中会输出 PONG ,表示服务已运行,接下来我们就可以配置安全选项了。

绑定Redis访问地址

打开Redis配置文件并进行编辑:

$ sudo vi /etc/redis.conf

找到以bind开头的行,并在下面加入如下内容:

bind 127.0.0.1

强烈建议此处只添加私有地址,添加共有地址会增加额外的风险。如果你需要绑定其他地址,可在IP后加空格和其他IP地址。

配置Redis密码

再次打开Redis配置文件:

$ sudo vi /etc/redis.conf

光标移动到SECURITY章节,找到如下注释内容:

# requirepass foobared

通过移除‘#’,并将foobared修改成更为安全的密码,比如使用sha256sum对简单密码进行加密:

$ echo "didicloud" | sha256sum

将输出结果修改到配置文件中并重启服务:

$ sudo systemctl restart redis.service

现在来测试下是否需要密码进行登录:

$ redis-cli
127.0.0.1:6379> set key1 10

显然,这时候需要密码才能够正常操作了,那么首先需要进行认证:

127.0.0.1:6379> auth your_redis_password

Redis会返回 OK,此时表示已经认证成功,可继续上面的数据操作:

127.0.0.1:6379> set key1 10
OK

127.0.0.1:6379> get key1
"10"

退出Redis命令行,可执行如下命令:

127.0.0.1:6379> quit

对危险命令进行重命名

Redis的另一个内置的安全机制,允许将危险命令进行重命名或者完全禁用,已防止未授权用户使用命令擦除或销毁数据。

危险命令包含如下:

  • FLUSHDB
  • FLUSHALL
  • KEYS
  • PEXPIRE
  • DEL
  • CONFIG
  • SHUTDOWN
  • BGREWRITEAOF
  • BGSAVE
  • SAVE
  • SPOP
  • SREM
  • RENAME
  • DEBUG

以上并不是一个完善的清单,但是从如上命令进行重命名或禁用是一个很好的开始。

重新打开Redis的配置文件

sudo vi  /etc/redis.conf

通过配置一个重命名空值来禁用命令

rename-command FLUSHDB ""
rename-command FLUSHALL ""
rename-command DEBUG ""

通过配置一个新的名称来给命令重命名:

rename-command SHUTDOWN SHUTDOWN_MENOT
rename-command CONFIG ASC12_CONFIG

配置好之后重启服务:

$ sudo service redis-server restart

滴滴云技术团队在Redis部署实战方面积累了丰富的经验,敬请关注本系列文章的后续分享。

本文作者:杜文迪

付江
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DC2-analysis:DC2数据集的常规分析工具
05-10
DC2分析 该存储库包含DC2模拟数据集的常规分析脚本。 特定于项目的工作可以在...在您可以找到一组有据可查的教程,这些教程显示了如何以各种方式访问​​和使用DC2数据。 该目录中的文件有一个描述教程的表。 新的脚
centos7-Redis服务安全加固
qq_36913644的博客
01-19 358
centos7-Redis服务安全加固 Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下, 可以导致任意用户在可以访问目标服务器的情况下未授权访 问Redis以及读取Redis的数据。 攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中, 进而可以直接登录目标服务器给用户的 Redis 运行环境以及 Linux
linux 7 安全加固,centos7-Redis服务安全加固
weixin_31496135的博客
05-16 103
centos7-Redis服务安全加固Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访 问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的autho...
linux 加固脚本,Centos7的常规加固脚本
weixin_36415235的博客
05-10 318
以下为一个普通的linux Centos7的常规加固脚本加固项包括以下项目:1、操作超时2、保留历史命令改为10条3、Enable TCP SYN Cookie Protection4、口令策略加固5、设置mask值&超时锁定#!/bin/shauthor:lpversion 1.0 written by 2019.05.03#1 add continue input failure 3 ...
系统加固
http://www.onlyze.cn/
08-26 1243
centos 系统加固。Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢? 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bi
centos7最小化安装安全脚本
迷茫的IT老腊肉
12-19 742
#!/bin/bash #Author:Benson #Blog:http://www.itzui.top #Time:2017-12-15 11:24:56 #Name:safe.sh #Version:V1.0 #Description:用于调整服务器中的安全设置项如下: #1.变更root密码为复杂性密码 #2.建立对应的普通账户并设定密码并加入sudoers文件中 #3.禁止root账户从s
如何在滴滴 DC2 上搭建 MySQL 服务
java060515的专栏
12-10 403
前言 MySQL 是什么 MySQL 是一种开放源代码的关系型数据库管理系统(RDBMS),使用最常用的数据库管理语言—结构化查询语言(SQL)进行数据库管理。 准备 系统硬件 滴滴服务器(DC2): 安全可靠,拥有极高的性价比高,为开发者的需求而设计。适合大中小型用户购买使用。 本文示例采用:通用型 2核CPU 4GB内存 500G的EBS盘的服务器配置 依赖软件 系统:CentOS 7....
DC2服务器性能,滴滴 DC2 服务器预装工具介绍(一)性能监控篇
weixin_35387118的博客
08-05 657
近期,滴滴DC2服务器做了一次标准镜像的升级。升级后所有版本的系统(CentOS7.3、CentOS6.9、Ubuntu16.04、Ubuntu14.04)都为用户默认安装了一些常用的工具。这些工具主要集中在性能监控、网络分析、系统调试等几个方面。预装后,滴滴DC2服务器的开发者友好程度更加突显,省去了用户搜索安装所浪费的时间。我们将组织一系列稿件,结合DC2服务器实例,分篇章为开发者们介绍这...
DC2DC_Chopper.rar
06-03
基于MATLAB的斩波电路仿真,含讲义和具体仿真模型,包括降压BUCK、升压BOOST、升降压BUCK-BOOST、CUK斩波等电路
dc2wmiparser.exe
07-24
常用工具:win10开发常用工具,亲测好用,使用平台为win10的1809 64位系统。其他平台未验证。
易语言开阔综合模块.ec_官方论坛下载的
12-03
模块名称 综合模块 模块作者 开阔 模块版本 55.2 模块MD5 50bd05321b51fd250a0dc2a57ba594fe 模块大小 3.91 MB 电子邮箱 主页地址 版权声明 开阔
战神k690,zx7,炫龙DC2 DD2 NB50/60 TJ1/TK1 模具 黑苹果EFI配置
10-01
8 代 U 和 9 代 U 核显皆为 UHD 630,可通用,非 UHD 630 不可使用,10 代 U 亦不可使用 目前已知可用笔记本型号 模具 型号列表 NB50TJ1 炫龙毁灭者DCⅡ-8480S2N 炫龙DCⅡ-8481S2N 炫龙毁灭者DCⅡ-5481S1N 炫龙毁灭...
基于SRS搭建RTMP直播流媒体服务器
热门推荐
java060515的专栏
11-22 1万+
软件定位 SRS 定位是运营级的互联网直播服务器集群,追求更好的概念完整性和最简单实现的代码。 运营级:商业运营追求极高的稳定性、良好的系统对接、错误排查和处理机制。譬如日志文件格式、reload、系统 HTTP 接口、提供 init.d 脚本、转发、转码和边缘回多源站,都是根据 CDN 运营经验作为判断这些功能作为核心的依据。 互联网:互联网最大的特征是变化,唯一不变的就是不断变化的客户要求,...
CentOS7 安装Nginx的两种方式
java060515的专栏
11-16 7811
本文将为大家介绍在CentOS7系统下安装Nginx的两种方式。 一、编译安装 1. 安装编译安装所需要的依赖 yum install -y gcc-c++ pcre pcre-devel zlib zlib-devel openssl openssl-devel 2.下载Nginx yum install -y wget wget https://nginx.org/download/nginx...
Gitlab CI&CD 在前端项目自动化构建部署中的实践
java060515的专栏
11-14 5022
引言 现在大部分的公司都搭建了自己的Gitlab,除了Git的代码管理能力,Gitlab的CI&CD在项目的持续集成和部署上也尽力提高大家的工作效率。下面用我们项目的例子为大家引荐一下这套工具带来的便利。 Gitlab CI&CD是什么 如上官方图示,可以理解为Gitlab给开发者提供了一项功能,在代码提交后自动触发一段开发者自定义的脚本,以此来完成诸如但不限于构建部署的工作。 ...
国内在Minikube上搭建Knative及示例演示
java060515的专栏
11-26 4307
1. 什么是serverless?什么是knative? 什么是 severless, 下面是 CNCF 对 serverless 架构给出的定义: “Serverless computing refers to the concept of building and running applications that do not require server management. It de...
滴滴快速搭建自己的简易服务集群(入门版)
java060515的专栏
03-08 4034
引言 万物互联的时代,各行各业都或多或少的接入线上,作为开发人员,我们有了小而美的产品或服务方面的想法,就把它她做出来放到线上,让它发展壮大。 我以滴滴为例,教你一步一步的搭建自己的服务器集群,包括负载均衡、Web 应用安全防火墙、构建部署等,当然这些都是可以根据你的服务发展拆分的。 以下小节循序渐进,每一节都可以停止,满足你线上服务发展的每一步诉求。 名词解释 内网互通: 同一账户下的资源互...
滴滴使用 DataX 实现 Hive 与 MySQL 数据传输
java060515的专栏
12-07 3493
1. DataX 简介: DataX 是阿里巴巴集团内被广泛使用的离线数据同步工具/平台,实现包括 MySQL、Oracle、SQLServer、Postgre、HDFS、Hive、ADS、HBase、TableStore(OTS)、MaxCompute(ODPS)、DRDS 等各种异构数据源之间高效的数据同步功能。本例中将使用 DataX 实现 Hive 与MySQL之间的数据传输。 本例中所使...
cbm-dc2 超声波程序
最新发布
10-14
通过将传感器安装在测量物体附近,即可实时测量物体与传感器之间的距离。比如在机械领域中,可以用来检测机械设备中零件的位置和间距,以及机器人中的障碍物位置,可广泛应用于自动化生产线中。 此外,CBM-DC2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值