Linux:阿里云 ECS Redis 安全设置

最新推荐文章于 2024-01-31 08:34:34 发布
最新推荐文章于 2024-01-31 08:34:34 发布
阅读量684 收藏 1
点赞数
分类专栏: Linux Redis 文章标签: redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lishangke/article/details/102769160
版权

博客地址http://www.lsk-ww.cn:8080

1、打开保护模式

redis默认开启保护模式。要是配置里没有指定bind和密码,开启该参数后,redis只能本地访问,拒绝外部访问。

redis.conf安全设置: # 打开保护模式 protected-mode yes
2、开启Redis密码认证,添加复杂密码

redis在redis.conf配置文件中,设置配置项requirepass, 开户密码认证。 redis因查询效率高,auth这种命令每秒能处理9w次以上,简单的redis的密码极容易为攻击者暴破。

打开redis.conf,找到requirepass所在的地方,修改为指定的密码,密码应符合复杂性要求:

1、长度8位以上
2、包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、%、@、^、&等,#除外)
3、避免使用已公开的弱密码,如:abcd.1234 、admin@123等
再去掉前面的#号注释符,然后重启redis
3、禁用危险命令
修改 redis.conf 文件,添加

rename-command FLUSHALL ""
rename-command FLUSHDB  ""
rename-command CONFIG   ""
rename-command KEYS     ""
rename-command SHUTDOWN ""
rename-command DEL ""
rename-command EVAL ""
然后重启redis。 重命名为"" 代表禁用命令,如想保留命令,
可以重命名为不可猜测的字符串,如: rename-command FLUSHALL joYAPNXRPmcarcR4ZDgC
4、修改Redis 配置文件的访问权限
chmod 600 /<filepath>/redis.conf
5、修改Redis 默认端口
编辑文件redis的配置文件redis.conf,找到包含port的行,将默认的6379修改为自定义的端口号,然后重启redis
6、禁止监听在公网

Redis监听在0.0.0.0,可能导致服务对外或内网横向移动渗透风险,极易被黑客利用入侵。

在redis的配置文件redis.conf中配置如下: bind 127.0.0.1或者内网IP,然后重启redis
7、禁止使用root用户启动

使用root权限去运行网络服务是比较有风险的(nginx和apache都是有独立的work用户,而redis没有)。redis crackit 漏洞就是利用root用户的权限来替换或者增加authorized_keys,来获取root登录权限的

使用root切换到redis用户启动服务:
useradd -s /sbin/nolog -M redis 
sudo -u redis /<redis-server-path>/redis-server /<configpath>/redis.conf
拾荒的小海螺
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
9-4 redis基线检查
weixin_43263566的博客
11-14 379
因此,在线上的Redis中,必须考虑禁用一些危险的命令,或者尽量避免任何人都可以使用这些命令。请注意,在修改端口后,确保相应的防火墙或网络设备也进行了相应的调整,以允许新的端口通过。在执行操作时,建议记录所做的更改,并定期备份Redis的配置文件和数据,以备恢复需要。在执行操作时,建议记录所做的更改,并定期备份Redis的配置文件和数据,以备恢复需要。在执行操作时,建议记录所做的更改,并定期备份Redis的配置文件和数据,以备恢复需要。在执行操作时,请确保谨慎,并确认对应的文件路径和权限设置
Redis服务安全加固
qq_40907977的博客
02-09 3206
转载来源 : https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186623.4.4.674b4b12XmJSTD 一.背景描述 1.漏洞描述 Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用。 在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件,直接通...
redis安全配置基线.xlsx
05-24
redis安全配置基线.xlsx
Redis安全基线问题处理
wbxshi的博客
07-10 444
(1)创建redis用户组、用户(3)切换redis用户,启动redis服务。
redis禁止几个危险命令的方法
09-09
今天小编就为大家分享一篇redis禁止几个危险命令的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
安全基线核查
热门推荐
博客地址 www.sec0nd.top
08-15 2万+
在家歇了一周了,打开微信看到朋友在交流基线核查的事情,想到之前面试也有被问到过这个问题,当时由于对这方面没有太多接触,就没答出来。现在来梳理一下这个方面的要点对于这个事情有不同的名字,比如 安全基线检查、基线检查、基线核查基线一般指配置和管理系统的详细描述,或者说是最低的安全要求,包括服务和应用程序设置、操作系统组件的配置、权限和权利分配、管理规则等。服务器安全基线是指为满足安全规范要求,服务器安全配置必需达到的标准,一般通过检查各安全配置参数是否符合标准来度量。...
java前后端部署 -宝塔-阿里云
最新发布
07-03
- 在阿里云控制台上为服务器配置安全组规则,开放必要的端口,例如3306(MySQL)、6379(Redis)等。 3. **远程连接验证**: - 使用Xshell或其他SSH客户端工具远程连接服务器,确认连接成功。 #### 二、宝塔面板...
阿里云部署springBoot项目
06-28
2. **远程连接阿里云ECS**: 为了远程管理ECS,通常会使用Xshell这样的终端模拟器。Xshell 6是一款功能强大的SSH客户端,支持多种协议,如SSH1、SSH2、Telnet、Rlogin和Serial。你可以通过Xshell进行命令行操作,...
基于Python django实现的企业内部安全巡检工具源码+数据库,帮助基于阿里云构建生产服务的中小企业,巡扫ECS/SLB
10-13
基于Python django实现的企业内部安全巡检工具源码+数据库,帮助基于阿里云构建生产服务的中小企业,巡扫ECS/SLB是否存在未授权访问的端口 其主体分为三部分:SLB外网开放web端口扫描及浏览器模拟截图,ECS外网开放...
阿里云计算与大数据.pptx
10-14
阿里云的技术层次(云计算 & 大数据)业务应用基础设施飞天分布式云操作系统联机事物处理(OLTP)联机分析处理(OLAP)大数据分析及处理内容管理搜索检索x86 服务器 & Linux弹性计算服务SLB/ECS(分布式)关系数据库...
Redis安全加固
qq_43590351的博客
10-13 2217
redis安全加固
安全基线检查及部分中间件部署规范
weixin_68057794的博客
10-14 2676
安全基线检查及部分中间件部署规范
Redis核心技术-性能-Redis响应慢检查点
ALONG的博客
01-05 458
获取 Redis 实例在当前环境下的基线性能。   所谓的基线性能呢,也就是一个系统在低压力、无干扰下的基本性能,这个性能只由当前的软硬件配置决定。   从 2.8.7 版本开始,redis-cli 命令提供了–intrinsic-latency 选项,可以用来监测和统计测试期间内的最大延迟,这个延迟可以作为 Redis 的基线性能。其中,测试时长可以用–intrinsic-latency 选项的参数来指定。 $ ./redis-cli --intrinsic-latency 120 Max laten.
阿里云redis集群实例报"EVAL"错误
h369262674的博客
08-13 1987
问题说明: 项目上线日志报“for redis cluster, eval/evalsha number of keys can't be negative or zero”错误; 如下图: 二话不说百度,得到结果为: 阿里云集群版不支持EVAL命令; 解决办法: 将redis实例从集群模式调整为主从。 (因为是项目迁移不能修改代码,只能调整环境。如果有更好的...
Redis服务的安全解决方案
liuerpeng1904的博客
10-11 1834
执行以下命令修改配置文件权限:(表示只有拥有者可读可写)
rediseval命令
shuux666的博客
03-23 5218
1.介绍 redis自从2.6.0版本起就采用内置的Lua解释器通过EVAL命令去执行脚本 EVAL命令首个参数是一个Lua 5.1版本的脚本,这个脚本并不需要定义一个Lua函数或者说是不应该这样做。它可以仅仅是一个Lua语法,这个语法运行在redis服务器上下文 EVAL命令第二参数是代表Redis键的数量,Lua采用基于数组形式(KEYS全局变量)访问这些参数(KEYS[1]、KEYS[2] …) 初次之外的其他参数并不代表redis键,它们可以通过ARGV全部变量定义的数组访问,与KEYS数组设置类似
Redis安全基线检查
咻一咻的博客
05-20 1623
禁止使用root用户启动 | 访问控制 描述 使用root权限去运行网络服务是比较有风险的(nginx和apache都是有独立的work用户,而redis没有)。redis crackit 漏洞就是利用root用户的权限来替换或者增加authorized_keys,来获取root登录权限的 加固建议 使用root切换到redis用户启动服务: useradd -s /sbin/nolog -M redis sudo -u redis /<redis-server-path>/redis-ser
Redis中间件加固策略,防止数据泄露
中年程序员一枚的博客
01-31 656
然后重启redisRedis中线上使用keys *命令是非常危险的,应该禁用或者限制使用这些危险的命令,可降低Redis写入文件漏洞的入侵风险。会话存储:Redis可以用来存储用户会话信息,如登录状态和个人设置,使得无状态的Web服务器可以通过会话ID共享用户状态。缓存数据:Redis因其高速的存取能力,常被用来存放那些频繁访问的数据,以此来减轻数据库的负担,提升应用程序的响应速度。因为redis密码明文存储在配置文件中,禁止不相关的用户访问改配置文件是必要的,设置redis配置文件权限为600。
Redis面试必备:45道阿里Redis题目解析
"45道阿里Redis面试题涵盖了Redis的基础、集群、数据淘汰策略以及分布式锁等核心知识点,旨在帮助面试者深入理解Redis的使用和原理。" 在大数据背景下,Redis作为一款内存数据库,因其高性能、高速度和易操作性而广...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拾荒的小海螺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值