Redis 配置不当致使 root 被提权漏洞

漏洞描述

Redis 服务因配置不当,可被攻击者恶意利用。黑客借助 Redis 内置命令,可将现有数据恶意清空;如果 Redis 以 root 身份运行,黑客可往服务器上写入 SSH 公钥文件,直接登录服务器。

受影响范围

对公网开放,且未启用认证的 Redis 服务器

修复方案

注意:以下操作,均需重启 Redis 后才能生效。

  • 绑定需要访问数据库的 IP。 将 Redis.conf 中的 bind 127.0.0.1 修改为需要访问此数据库的 IP 地址。

  • 设置访问密码。在 Redis.conf 中 requirepass 字段后,设置添加访问密码。

  • 修改 Redis 服务运行账号。以较低权限账号运行 Redis 服务,且禁用该账号的登录权限。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值