Redis 未授权访问漏洞，Redis设置认证密码

加固建议

防止这个漏洞需要修复以下三处问题 第一： 修改redis绑定的IP 如果只在本机使用redis服务那么只要绑定127.0.0.1 如果其他主机需要访问redis服务那么只绑定客户主机所在网络的接口 最好不要绑定0.0.0.0 另外需要通过主机内置的防火墙如iptables，或者其他外置防火墙禁止非业务主机访问redis服务 第二： 设置访问密码 在 redis.conf 中找到“requirepass”字段，取消注释并在后面填上你需要的密码。 注：修改redis的配置需要重启redis才能生效。 第三： 使用普通用户启动redis，并且禁止该用户启动shell，禁止使用root用户启动redis。

漏洞描述

redis端口对外开放并且没有配置认证选项，并且以root权限运行，未授权用户可直接覆盖/root/.ssh/authorized_keys 上传公钥直接用root账号登陆ssh服务器。

漏洞修复解决：redis 设置认证密码

为redis设置密码：设置客户端连接后进行任何其他指定前需要实用的密码。警告：因为redis速度非常快，所以在一台较好的服务器下，一个外部用户可以在一秒钟进行150k次的密码尝试，这意味着你需要指定非常非常强大的密码来防止暴力破解。

方法一：

修改密码的方法：

1、只需要在redis的配置文件redis.conf中开启requirepass就可以了。

cd /home/hgaop/test/redis-2.8.19/

vim redis.conf --找到下面这行，把注释去掉，requirepass后面填写需要修改的密码

requirepass mypassword

 

2、重启redis

ps -ef |grep redis --查看redis进程

kill -9 13224 --杀死redis进程

ps -ef |grep redis --确认杀死

./redis-server ../redis.conf --重启redis，指定配置文件

ps -ef |grep redis

root 9309 1 0 15:22 ? 00:00:00 ./redis-server *:6379

root 9727 8627 0 15:28 pts/1 00:00:00 grep redis

/redis-cli -h 127.0.0.1 -p 6379 --不用密码登录测试

127.0.0.1:6379> keys *

(error) NOAUTH Authentication required. --拒绝操作

./redis-cli -h 127.0.0.1 -p 6379 -a aop_redis@68 --加-a用密码登录

127.0.0.1:6379> select 1

OK --修复成功

 

 

方法二：

redis安装过后默认是没有密码的，可以通过配置文件来设置密码。设置密码过后客户端连接服务端就需要密码验证，安全性提高。

可以通过以下命令查看是否设置了密码：

上图返回结果表示密码为空，可以通过以下命令来修改改参数：

设置密码后，需要验证正确密码才能使用客户端，否则会报“ERR operation not permitted”错，无法执行命令。

通过auth命令验证密码。基本语法：

127.0.0.1:6379> AUTH password

实例：

OK，密码设置验证成功。