redis和mysql安全_Redis 服务安全配置不当而遭受到hacker攻击和Redis服务的安全模式 | IT工程师的生活足迹...

最新推荐文章于 2022-07-08 22:31:00 发布
最新推荐文章于 2022-07-08 22:31:00 发布
阅读量128 收藏
点赞数
文章标签: redis和mysql安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29952235/article/details/113681519
版权

Redis从3.2版本添加的新功能。主要是限制远程IP对Redis服务的访问。

一、概述

之前很多部署Redis服务的Linux机器因为没有做好安全设置,被hacker攻克。

1.1、错误使用场景

一般情况下,Redis服务会使用ROOT账号启动后台运行;并监听的网络端口,对外提供访问。

很多人在使用Redis时,不会对其设置用户登录验证。在以上的情况下,如果没有在防火墙上限制可以访问Redis服务端口的客户端IP地址的话,机器很容易会被攻克。

1.2、攻击原理简述

因 Redis 服务没有对登录用户开启验证功能;hacker通过远程用户登录到我们的Redis服务上。通过使用config命令,hacker可以修改系统的任意文件。比如ssh的证书文件,这样用户就可以使用key登陆系统了。

$ redis-cli -h 192.168.1.100

$ 192.168.1.100:6379> config set dir /root/.ssh/

OK

$ 192.168.1.100:6379> config get dir

1) "dir"

2) "/root/.ssh"

$ 192.168.1.100:6379> config set dbfilename "authorized_keys"

OK

$ 192.168.1.100:6379> save

OK

二、bind 绑定网卡

默认情况redis绑定所有的网卡,监听6379端口。

可以设置只绑定在回环网卡(127.0.0.1)上,这样只能本机访问。

三、protected-mode 保护模式

默认开启;如果你需要远程IP访问此Redis服务,不进行用户登录验证的情况下,访问Reids服务;需要禁用保护模式。

禁用方式:CONFIG SET protected-mode no

弯曲的星光
关注
如何保证Redis性能与安全?看这篇Redis数据库性能测试及安全优化配置指南就够了
WeiyiGeek 唯一极客IT知识分享
04-14 1360
本章目录 0x00 Redis 性能指标监控 (1) 性能指标 1.基本活动指标:Basic activity 2.性能指标:Performance 3.内存指标: Memory 4.持久性指标: Persistence 5.错误指标:Error 6.其他指标说明 (2) 性能测试工具 1.redis-benchmark 命令 2.redisbench 工具 3.rdb 内存分析工具 (3) 基准测试实践 3.1 K8s中单实例redis测试 0x01 Redis 安全优化 1.Security 非特权运行
redis_未授权访问
scu_hacker博客
01-13 8238
本文介绍redis未授权访问的4种利用方式
redismysql安全_Redis 安全
weixin_28937805的博客
02-11 90
Redis 安全我们可以通过 redis配置文件设置密码参数,这样客户端连接到 redis 服务就需要密码验证,这样可以让你的 redis 服务安全。实例我们可以通过以下命令查看是否设置了密码验证:127.0.0.1:6379> CONFIG get requirepass1) "requirepass"2) ""默认情况下 requirepass 参数是空的,这就意味着你无需通过密码...
mysql 常见技巧hack汇总
chuangxin的专栏
09-04 413
mysql技巧汇总,包括运维和开发部分,如:如何查看配置文件位置,查看数据文件存储路径等。
MySQLRedis的优缺点及区别
flylr^的博客
05-04 5168
MySQL的优缺点 优点: 体积小、速度快、总体拥有成本低,开源,提供的接口支持多种语言连接操作。 支持多种操作系统。 MySQL 的核心程序采用完全的多线程编程。线程是轻量级的进程,它可以灵活地为用户提供服务,而不过多的系统资源。用多线程和C语言实现的MySQL ,充分利用CPU资源。 有一个非常灵活而且安全的权限和口令系统。当客户与MySQL 服务器连接时,他们之间所有的口令传送被加密,而且MySQL 支持主机认证。 支持大型的数据库, 可以方便地支持上千万条记录的数据库。作为一个开放源代码
Redis学习总结(5)之redis.conf配置文件说明
热门推荐
jokeMqc的博客
02-26 1万+
一、前言 接下来,我们就来讲解下redis配置文件的各个配置项的含义,注意,本文是基于redis-3.0.0版本进行讲解的。redis官方提供的redis.conf文件,足有700+行,其中100多行为有效配置行,另外的600多行为注释说明。首先明确了一些度量的单位。 Redis配置文件大概被分为几块大的区域,他们分别是: 通用(general) 快照(snapshotting) ...
安装redis后,系统异常,被黑客攻击入侵
BecauseOfYouIKnew的博客
03-22 2747
如果你的系统在安装redis后,同时在使用默认redis配置文件的情况下,系统发生异常,那你就应该去查看你的/root/.ssh/authorized_keys的文件,如果出现类似代码:说明你的系统被黑客通过redis入侵了,`REDIS0006þ^@^@^GcrackitA<90>ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDao4L1Hk/El05qbO5NeBA
redis教案.docx
04-03
启动 Redis 服务时,可使用 `redis-server /path/to/redis.conf` 命令指定配置文件。 此外,Redis 还支持集群模式(Cluster)、哨兵模式(Sentinel)和主从复制,以实现高可用性和数据冗余。哨兵模式可以监控 Redis...
redis安装脚本setup.sh
08-19
有时候在linux上安装个程序就很麻烦,要看教程,找地方下载,安装编译,很多时候各种各样的错误需要解决,最近准备学习redis,需要安装一个,正好看到开源项目Teamtalk里有自动安装的脚本,特地分享出来,一个命令就...
本地使用 Docker Compose 与 Nestjs 快速构建基于 Dapr 的 Redis 发布/订阅分布式应用...
o__cc的博客
07-08 570
Dapr(分布式应用程序运行时)介绍 Dapr 是一个可移植的、事件驱动的运行时,它使任何开发人员能够轻松构建出弹性的、无状态和有状态的应用程序,并可运行在云平台或边缘计算中,它同时也支持多种编程语言和开发框架。 Dapr 官网:https://dapr.io/ 实战 Dapr 的 Redis 发布/订阅应用 1. 创建项目 首先,我们将创建我们的项目根文件夹来托管我们将在后续步骤中创建的所有...
mysqlredis之间的关系
Leacode的博客
03-04 1202
redis由Antirez开发出来的: 在redis还未出来的时候,我们所有的查询操作都是通过直接对mysql查询,设计之初数据较少还好,后来因为互联网的发展它容纳的数据也越来越多,用户请求也随之暴涨,而每一个用户对数据的请求的也成了直接对mysql的读写,这样势必会在大批次请求时出现数据库雪崩的情况,这也就是我们说的,数据库雪崩的时候没有一片雪花是无辜的; 后来redis创始人发现数据库的一大半请求也都是基本的读写操作,尤其是其中很大一部分就是重复的查询,浪费了很多时间去进行磁盘的I/O(...
redis关闭保护模式
liangkaiping0525的博客
03-28 1843
redis在启动的时候默认会启动一个保护模式,只有同一个服务器可以连接上redis。别的服务器连接不上这个redis 解决办法:关闭保护模式 1、进入redis安装目录找到conf目录下的redis.conf文件 vi redis.conf 注释bind 127.0.0.1这一行 2、启动redis 登入客户端 执行下面命令 config set protected-mod...
redis防止黑客恶意攻击的简单办法
qq_36779138的博客
12-31 1441
1.在redis中放入有用户标识的key,每次用户操作时都会根据用户标识的key去匹配一下,匹配上就能操作,匹配不上就拒绝。 下面的代码是商品秒杀场景,根据用户id和商品id去生成一个标识,然后放入redis缓存中。 @Override public String getMd5(Integer id,Integer userid){ //检验用户的合法性 User user = userMapper.findById(userid); if(user
向前维泰比算法Matlab代码.rar
10-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
#-ssm-033-mysql-校园二手交易系统-.zip
最新发布
10-09
现如今,校园二手交易系统是商业贸易中的一条非常重要的道路,可以把其从传统的实体模式中解放中来,网上购物可以为消费者提供巨大的便利。通过校园二手交易系统这个平台,可以使用户足不出户就可以了解现今的流行趋势和丰富的商品信息,为用户提供了极大的方便,校园二手交易系统的主要功能包含:商品类别管理、商品的信息管理、订单管理、用户的管理等。网站分为管理员、会员用户这二种用户平台。校园二手交易系统主要使用目前JSP中最流行的SSM框架和Eclipse编辑器、MYSQL数据库设计并实现的。实现了一个校园二手交易系统网站。能够让广大消费者体验到网上平台订餐的乐趣,为网上购物提供了一个管理高效的、决策科学化、安全有效的电子商务平台。 关键词:校园二手交易系统,SSM,Eclipse,商业贸易
MATLAB软件的汽车框定系统【GUI界面版本】.zip
10-09
数据库课程设计
用于开发和测试大脑情感唤醒特征(BAAS)的代码.rar
10-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
等效氢气消耗最小的燃料电池混合动力能量管理策略 基于matlab平台开展,纯编程,.m文件 该方法作为在线能量管理方法,可作为比
10-09
等效氢气消耗最小的燃料电池混合动力能量管理策略 基于matlab平台开展,纯编程,.m文件 该方法作为在线能量管理方法,可作为比较其他能量管理方法的对比对象。 该方法为本人硕士期间编写,可直接运行 可更任意工况运行
基于Nginx、Node.js和Redis的高可扩展Docker工作流实践
基于Nginx、Node.js和Redis的Docker工作流 本文主要介绍了基于Nginx、Node.js和Redis的Docker工作流的实现方法。作者首先回顾了之前的文章,讨论了容器和Docker对PaaS、微服务和云计算的影响。然后,作者介绍了一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值