等保2.0测评:Redis 数据库配置

最新推荐文章于 2024-04-15 08:58:43 发布
最新推荐文章于 2024-04-15 08:58:43 发布
阅读量2.6k 收藏 21
点赞数 1
分类专栏: 等保测评 文章标签: 数据库 redis 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43590351/article/details/127278762
版权

Redis等保2.0测评

在这里插入图片描述

一、身份鉴别

a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换

1、身份鉴别和标识

redis-cli
keys *

在这里插入图片描述

2、身份鉴别信息具有复杂度并定期更改

没办法满足这个要求,无口令复杂度、最长使用期限设置功能。
这里核查用户当前口令复杂度是否满足要求。

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

1、登录失败处理功能

没有这个功能,询问管理人员是否有第三方措施。
默认不符合。

2、 操作超时自动退出功能

查看redis配置文件,一般为redis.conf,在redis主目录下,查看timeout的值,默认为0永不退出

这里设置的就是,120秒退出后要求重新进行身份鉴别。
超过这个时间它就要求重新进行身份鉴别了。

在这里插入图片描述

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听

默认情况下明文传输,抓包可以查看明文口令
这个要去询问管理人员是否做了相关措施防止鉴别信息在传输过程中被窃听。
默认不符合

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现

这个一般不会去做,我们只要现场核查它是否使用了双因素认证就行了。

二、访问控制

由于Redis数据库没有用户这个概念,通过单一的口令验证就可以登录,拥有所有权限,所以针对访问控制这个控制点,
有些是判不适用,有些是判不符合的,这个我觉得可以根据机构自己的要求来进行判断,毕竟目前没有一个统一的标准。

a)应对登录的用户分配账户和权限

无用户概念,通过口令验证,拥有所有权限。

b)应重命名或删除默认账户,修改默认账户的默认口令

无默认账户存在。不适用

c)应及时删除或停用多余的、过期的账户,避免共享账户的存在

无账户概念。

d)应授予管理用户所需的最小权限,实现管理用户的权限分离

无法分权,做不到。A

e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则

无授权主体。

f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级

无用户概念。

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问

做不到。

三、安全审计

a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

确定两个参数:loglevel、logfile。
logfile必须要配置,因为不配置就不会留存对应的日志了。

在这里插入图片描述

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

默认符合,日志时间跟随系统时间。比如我刚重启了数据库和配置文件

在这里插入图片描述

c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等

存储在操作系统上的日志文件权限,不得超过644,默认不删应该永久保存。
定期备份问题,询问管理人员是否有做即可。

在这里插入图片描述

d)应对审计进程进行保护,防止未经授权的中断

默认符合无法中断日志文件输出,但是可以修改日志记录等级。

在这里插入图片描述

四、入侵防范

以下条款为:不适用

a)应遵循最小安装的原则,仅安装需要的组件和应用程序

b)应关闭不需要的系统服务、默认共享和高危端口

d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求

f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警

涉及到的:

c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

找到redis的配置文件,一般为redis.conf,可以先找NETWORK,下面会有个bind

在这里插入图片描述

e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞

这条就结合漏扫、渗透测试等方法进行判断。

五、数据完整性

针对这个数据库,下面两条默认都是不符合。询问管理人员是否做了相关措施来保证数据的完整性。

a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

六、数据保密性

这个保密性同理,针对这个数据库,下面两条默认都是不符合。询问管理人员是否做了相关措施来保证数据的保密性。

a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等

b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等

七、数据备份恢复

a) 应提供重要数据的本地数据备份与恢复功能

直接去问管理人员备份怎么做的,是否有措施保证备份数据有效(有测试记录即可)。

b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地

询问管理员

c)应提供重要数据处理系统的热冗余,保证系统的高可用性

这个根据实际情况来看,是否有热冗余的必要性。没有个人认为可判不适用。
萌新_大鹏鸟
关注
  • 1
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何Redis性能与安全?看这篇Redis数据库性能测试及安全优化配置指南就够了
WeiyiGeek 唯一极客IT知识分享
04-14 1278
本章目录 0x00 Redis 性能指标监控 (1) 性能指标 1.基本活动指标:Basic activity 2.性能指标:Performance 3.内存指标: Memory 4.持久性指标: Persistence 5.错误指标:Error 6.其他指标说明 (2) 性能测试工具 1.redis-benchmark 命令 2.redisbench 工具 3.rdb 内存分析工具 (3) 基准测试实践 3.1 K8s中单实例redis测试 0x01 Redis 安全优化 1.Security 非特权运行
mysql审计记录保护_MySQL安全审计-等保2.0
weixin_33486249的博客
01-26 2979
按照三级登报2.0要求,mysql开启审计日志a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;d)应对审计进程进行保护,防止未经授权的中断。查看审计日志,默认关闭临时打开:这只是临时性的开启,当数据库重...
Mysql部署全攻略——等保安全配置
bbsxb520的博客
06-16 447
修改默认超管用户、检查空密码用户、配置超时及错误次数、密码复杂度设置、账号过期设置、开启全量日志、开启加密链接(包括秘钥的生成和使用、强制用户使用安全链接的方法、主从同步配置等)、审计日志功能如何实现(使用Mcafee插件)
MYSQL、ORACLE、SQLSERVER、Postgres、Redis数据库等保测评作业指导书V1.1
07-26
可适用于数据库等保测评数据库加固,数据库安全配置检查
三级等级保护之安全计算环境
千寻的博客
10-27 2008
文章目录身份鉴别访问控制安全审计入侵防范可信验证数据完整性数据密性数据备份恢复 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 访问控制 a)
【安全服务】windows/Linux安全基线检查|等保2.0安全技术测评指导
kkza的博客
08-13 1万+
一 身份鉴别 1 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 (1)对登录用户进行身份标识和鉴别,即登录时需要账号密码 -- win+R,输入netplwiz,按下列指示勾选内容 (2)身份标识具有唯一性,不同用户之间账号不能一样 (3)身份鉴别信息具有复杂度并且定期更换 一般指的是密码,应该设置密码策略,规定密码形式、长度、至少更改时间等 --计算机管理-本地用户和组-用户,关闭密码永不过期 -- 控制面板->管理工...
redis常识
lx19971212的博客
10-31 741
1.2 优缺点 非常非常的快,有测评说比Memcached还快(当大家都是单CPU的时候),而且是无短板的快,读写都一般的快,所有API都差不多快,也没有MySQL Cluster、MongoDB那样更新同一条记录如Counter时慢下去的毛病。 丰富的数据结构,超越了一般的Key-Value数据库而被认为是一个数据结构服务器。组合各种结构,限制Redis用途的是你自己的想象力,作者自己捉刀写
第四十六章:Redis数据库主从复制1
08-08
Redis数据库主从复制是分布式系统中常见的数据冗余和...以上就是Redis数据库主从复制的基本概念、同步过程以及配置案例。在实际应用中,还需要考虑网络状况、故障转移、数据一致性等问题,以确系统的稳定性和可靠性。
数据库实战:Redis缓存数据库实战资源
最新发布
05-04
这些资源可能包括代码示例、配置指南、性能优化建议等,帮助开发者深入理解如何利用Redis来提升应用程序的性能。 描述中的“数据库实战之Redis缓存数据库实战资源”进一步强调了这是关于使用Redis进行实际操作的...
springboot_security_oauth2.0_redis:redis 缓存,mysql存储用户信息
04-30
springboot_security_oauth2.0 add requeset: add response: {"access_token":"b2c338d7-c71d-4e8b-b2bf-809a2fb1b27c","token_type":"bearer","refresh_token":"3c66fd1c-60b5-44d2-a614-548941c13c25","expires_in...
RedisRate:Redis数据库指标应用程序
05-23
RedisRate是一种易于使用且与用例无关的分析工具,旨在帮助开发人员通过可视化关键Redis性能指标来做出明智的数据库管理决策。 Beta阶段 RedisRate处于BETA阶段。 拉取请求和贡献是受欢迎的。 如果您想做出贡献,请...
redis安全加固等保测评
2301_79527080的博客
04-15 724
然而,由于Redis默认配置较为宽松,安全性较低,容易受到攻击。为了Redis系统的安全性,需要进行安全加固等保测评,本文主要介绍了一些常用的Redis安全加固措施,并提供了相应的代码示例。在redis.conf配置文件中,将bind配置项修改为需要绑定的IP地址,例如bind 192.168.1.100,表示只允许IP地址为192.168.1.100的主机进行访问。requirepass:该配置项用于设置Redis的密码,如果没有设置密码,则默认为空,即不需要密码即可访问Redis
Tomcat配置加密
bestcleaner
07-01 815
Tomcat配置加密
《商用密码应用与安全性评估》第四章 密码应用安全性评估实施要点-小结
热门推荐
Hyacinth12138的博客
07-24 2万+
密码应用安全性评估包括:信息系统规划阶段对密码应用方案的评审/评估、建设完成后对信息系统开展的实际测评 总体要求、物理和环境安全、网络与通信安全、设备与计算安全、应用与数据安全、密钥管理、安全管理 密码应用方案设计应遵循:总体性原则、科学性原则、完备性原则、可行性原则 在设计密码应用解决方案时,应注意两大方面内容: 信息系统支撑平台的密码应用 信息系统业务应用的密码应用 密码应用解决方案主要包括:系统现状分析、安全风险及控制需求、密码应用需求、总体方案设计、密码技术方案设计、管理体系设计与运维体系
访问控制和进程控制
桂云帆的博客
03-09 95
通过应用于存储上下文的域、生命周期或直接应用于文件夹或各个对象的安全策略,可向您。中创建和存储的信息是贵组织宝贵的智力资产。因此,管理员会为您提供适当的访。访问控制决定您是否能够读取、修改、创建、删除或修订。可以确定自己无法访问某个对象或执行某项操作。应用于文件夹或对象的安全策略。,则您的权限很可能已被设。置为阻止进行这一操作。应用于存储上下文的域。
通过加密算法实现数据的完整性、机密性及身份验证
lyglostangel的专栏
05-15 2万+
一般互联网上加密算法分为三种:                 对称加密、单向加密、非对称加密 下面就来介绍下如何通过上面的三种加密算法实现数据的机密性、完整性及身份验证。 对称机密算法:      对称加密算法提供加密算法本身并要求用户提供密钥以后,能够结合算法和密钥将明文转换为密文,反之,之所以称它为对称加密,是因为加密和解密使用的密钥是相同的。对称加密算法:加密算法和解密算法,只
redis配置文件 windows启动_redis系列002:redis多实例配置
05-20
在 Windows 上启动 Redis 多个实例,需要创建多个配置文件并分别启动 Redis 服务。以下是在 Windows 上启动 Redis 多个实例的步骤: 1. 复制 Redis 安装目录下的 redis.windows.conf 文件,重命名为 redis-1.windows.conf。 2. 修改 redis-1.windows.conf 配置文件中的 port 和 dir 参数,分别设置端口和持久化数据存储路径。例如,将 port 设置为 6379,dir 设置为 D:\redis-1\data。 3. 打开命令提示符,切换到 Redis 安装目录,执行以下命令启动第一个 Redis 实例: redis-server.exe D:\redis-1\redis-1.windows.conf 4. 复制 redis-1.windows.conf 文件,重命名为 redis-2.windows.conf。 5. 修改 redis-2.windows.conf 配置文件中的 port 和 dir 参数,分别设置端口和持久化数据存储路径。例如,将 port 设置为 6380,dir 设置为 D:\redis-2\data。 6. 执行以下命令启动第二个 Redis 实例: redis-server.exe D:\redis-2\redis-2.windows.conf 7. 以此类推,可以创建更多的 Redis 实例。 注意事项: 1. 每个 Redis 实例需要有独立的配置文件和数据存储路径。 2. 启动 Redis 实例时需要指定对应的配置文件。 3. 不同的 Redis 实例需要使用不同的端口。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值