几年前的事情了,当时发现服务器突然变的很卡,瞅了瞅,cup使用率百分之九十多,当前的进程有一个监控的程序,异常可疑.当即找运维一查,原来是有人通过redis入侵服务器,加入了自己的公钥,进入机器,将挖矿程序伪装成系统监控。
所以,redis一定一定要加密码!
做到以下这几点,可保证Redis安全
- 启动:不能以root用户来启动!!!
- 端口:避免用默认6379端口
- 地址:避免仅监听本地地址
- 密码:密码设置复杂一点
- redis-cli登录时不要通过redis-cli -a YouPassword来登录,而是先登录后验证,redis-cli后,输入auth YouPassword的方式
- 限制Redis的文件目录访问权限
- 设置redis的主目录权限为700
- 如果redis配置文件独立于redis主目录,权限修改为600(因为Redis密码明文存储在配置文件中)
- 重命名或禁用config, flushdb/flushall,[bg]save等命令
- 禁止Redis中存储敏感的明文数据
- 安全监控:cmdstat_auth cmdstat_flushdb/flushall监控报警