Redis安全基线问题处理
1. 禁止使用root用户启动redis
(1)创建redis用户组、用户
groupadd redis #创建redis组
useradd -g redis redis #创建redis用户并加入redis组
passwd redis #设置redis用户密码
(2)将redis-3.2.7文件夹赋予普通用户权限:
chown -R redis:redis redis-3.2.7
(3)切换redis用户,启动redis服务。
2. 限制redis配置文件的访问权限
修改redis.conf配置文件权限:chmod 600 redis.conf
3. 更改默认端口
(1)打开Redis配置文件 redis.conf
(通常位置为 /etc/redis/redis.conf)。
(2)找到包含port的行,将默认的6379修改为自定义的端口号。
(3)保存更改并关闭文件,然后重启redis。
4. 开启redis密码认证
在redis的配置文件redis.conf中配置如下信息:
找到requirepass所在的地方,修改为指定的密码,密码应符合复杂性要求:
1. 长度8位以上
2. 包含以下四类字符中的三类字符:
3. 英文大写字母(A 到 Z)
4. 英文小写字母(a 到 z)
5. 10 个基本数字(0 到 9)
6. 非字母字符(例如 !、$、#、%、@、^、&)
7. 避免使用已公开的弱口令,如:abcd.1234 、admin 等
8. 再去掉前面的#号注释符
5. 禁用或者重命名危险命令
修改 redis.conf 文件,添加以下内容:
rename-command FLUSHALL ""
rename-command FLUSHDB ""
rename-command CONFIG ""
rename-command KEYS ""
rename-command SHUTDOWN ""
rename-command DEL ""
rename-command EVAL ""
备注:重命名为"" 代表禁用命令。
6. 禁止监听在公网IP
在redis的配置文件redis.conf中配置如下:
bind 127.0.0.1或者内网IP(这里我改成了bind 127.0.0.1)。