Redis未授权访问漏洞修复

最新推荐文章于 2022-10-31 12:30:05 发布
最新推荐文章于 2022-10-31 12:30:05 发布
阅读量322 收藏 4
点赞数 1
文章标签: 数据库 爬虫 运维
原文链接:http://www.cnblogs.com/xun0523/p/9804999.html
版权

1.禁止一些高危命令(重启redis才能生效)

  • 修改 redis.conf 文件,禁用远程修改 DB 文件地址

  1. rename-command FLUSHALL ""

  2. rename-command CONFIG ""

  3. rename-command EVAL ""

  • 或者通过修改redis.conf文件,改变这些高危命令的名称

  1. rename-command FLUSHALL "name1"

  2. rename-command CONFIG "name2"

  3. rename-command EVAL "name3”

2. 以低权限运行 Redis 服务(重启redis才能生效)

为 Redis 服务创建单独的用户和家目录,并且配置禁止登陆

groupadd -r redis && useradd -r -g redis redis

 

3. 为 Redis 添加密码验证(重启redis才能生效)

修改 redis.conf 文件,添加

requirepass mypassword

(注意redis不要用-a参数,明文输入密码,连接后使用auth认证)

4. 禁止外网访问 Redis(重启redis才能生效)

 

修改 redis.conf 文件,添加或修改,使得 Redis 服务只在当前主机可用

 

bind 127.0.0.1

 

在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没有配置密码访问时都会报错

 

5.修改默认端口

修改配置文件redis.conf文件

Port 6379

 

默认端口是6379,可以改变成其他端口(不要冲突就好)

 

6. 保证 authorized_keys 文件的安全

为了保证安全,您应该阻止其他用户添加新的公钥。

  • 将 authorized_keys 的权限设置为对拥有者只读,其他用户没有任何权限:
chmod 400 ~/.ssh/authorized_keys
  • 为保证 authorized_keys 的权限不会被改掉,您还需要设置该文件的 immutable 位权限:
chattr +i ~/.ssh/authorized_keys
  • 然而,用户还可以重命名 ~/.ssh,然后新建新的 ~/.ssh 目录和 authorized_keys 文件。要避免这种情况,需要设置 ~./ssh 的 immutable 权限:
chattr +i ~/.ssh

7. 设置防火墙策略  

如果正常业务中Redis服务需要被其他服务器来访问,可以设置iptables策略仅允许指定的IP来访问Redis服务。

 

转载于:https://www.cnblogs.com/xun0523/p/9804999.html

weixin_33711647
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
本文主要给大家介绍了关于Redis授权访问漏洞利用的相关内容,文中对该漏洞进行了详细,并给出了相对应的修复/安全建议,下面话不多说了,来一起看看详细的介绍吧。 一、漏洞介绍 Redis 默认情况下,会绑定在 0.0....
redis哨兵故障切换重复 Next failover delay: I will not start a failover before ?
a1808862593的博客
10-27 600
这个命令的含义是:将名为 "CONFIG" 的 Redis 命令重命名为空字符串("")。换句话说,这将删除或禁用名为 "CONFIG" 的 Redis 命令。命令是 Redis 内部的一个命令,用于获取和设置 Redis 的配置参数。用于重命名 Redis 中的一个命令。这是 Redis 命令行客户端提供的一种修改服务器端命令名称的方式。命令,从而导致哨兵无法进行重写 redis 配置修改主从关系进行故障切换,那么哨兵就一直等待故障转移。命令,进行重写redis配置而达到主从故障切换的目的。
org.redisson.client.RedisException: ERR unknown command `EVAL`
water
04-29 4253
使用的redis版本是4.0.11,去掉redis.conf配置文件里面的:rename-command EVAL “” 重启redis集群即可 rename-command EVAL "" #bind 127.0.0.1 port 7006 protected-mode no daemonize yes cluster-enabled yes cluster-node-timeout ...
Redis - ERR unknown command ‘EVAL‘. channel
牧码的博客
01-26 3994
报错 Exception in thread "pool-25-thread-20" org.redisson.client.RedisException: ERR unknown command 'EVAL'. channel: [id: 0x06fc3a14, L:/11.57.1.15:6694 - R:192.168.200.152/192.168.200.152:26378] command: (EVAL), params: [if (redis.call('hexists', KEYS[1]
redis数据库/安全加固
qq_69613156的博客
10-08 1151
修改主要配置文件,更改默认配置,提高redis的安全性。
Redis redis-cli 缓冲区错误漏洞(CVE-2018-12326)
淡淡的心
10-14 1728
标题 内容 详细描述 Redis是美国Redis Labs公司赞助的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。redis-cli是其中的一个命令行工具。Redis 4.0.10之前版本和5.0 RC3之前的5.x版本中的redis-cli存在缓冲区溢出漏洞。攻击者可借助特制的命令行利用该漏洞执行代码并提升至更高的权限。 解决办法 升级最新版本,redis-windows 微软停止维护,只有3.2版...
redis 7.0.8版本
05-06
这些改进有助于保护用户数据,防止授权访问或数据泄露。 此外,新版本通常会修复已知的bug和漏洞Redis 7.0.8可能修复了前一版本中出现的崩溃、数据丢失或一致性问题,确保系统的稳定运行。对于大规模部署的...
redis mac 7.2.3 arm 包
最新发布
11-07
- 设置密码认证(`requirepass`),防止授权访问。 - 避免在生产环境中暴露Redis直接面对互联网,通常会通过防火墙规则或代理服务来限制访问。 7. **其他注意事项**: - 保持Redis的版本更新,及时修补可能的...
Tomcat 漏洞总结
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
10-09 9666
CVE-2017-12615 漏洞原理 CVE-2017-12615由于配置不当,可导致任意文件上传,影响版本:Tomcat7.0.0-7.0.81 由于配置不当,conf/web.xml中的readonly设置为flase,可导致用PUT方法上传任意文件,但限制了jsp后缀的上传 漏洞复现 使用Vulhub搭建测试环境 Vulhub - Docker-Compose file for vulnerability environment 成功启动环境 进入容器,并查看配置文件,发现r
Linux 下rename 命令的用法第1/2页
09-16
刚学习linux的时候,对文件重命名首先想到的就是rename命令,但是按照在windows下对文件重命名的方式试了N多次都没有反应,在网上一搜索,发现很多人都对rename命令知之甚少,甚至有一部分人说linux下没有rename命令,建议大家用mv命令。鉴于此,于是man rename一下,好好的研究了一下它的用法 ,在此对rename命令和mv命令在重命名文件方面做一个比较,有不足之处,希望各位博友指正!
tomcat 漏洞集合
qq_53229503的博客
09-02 7175
tomcat 漏洞集合
Tomcat7+ Weak Password && Backend Getshell Vulnerability(Tomcat7+弱密码&&后端Getshell漏洞
m0_46693276的博客
02-22 270
如果遇到有部署tomcat的应用,可以去访问下地址:ip+端口,一般是8080,如:http://192.168.60.131:8080。若管理员没有将tomcat的管理界面关闭,我们可以去用Burpsuite破解密码。tomcat:tomcat 1. 目录 1.访问tomcat 2.登录tomcat 3.找一个jsp的馬,放在jdk文件的bin目录下。(上传的馬会附在文章结尾) 4,在jdk的bin目录下,打开命令行(shift+ctrl 右键),然后输入:jar -cvf 1.war ./.
Redis漏洞利用的4种方法
qq_50854662的博客
05-13 4539
Redis简介 redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。区别的是redis会周期性的把更
redis ERR unknown command 'EVAL'
热门推荐
axe的专栏
04-23 1万+
redis客户端使用evel命令,报ERR unknown command 'EVAL' 解决方式: 检查redis版本是否大于等于2.6.0 如果版本没问题,打开redis.conf配置文件 检查是否有rename-command EVAL ""这项配置 如果有,注释掉#rename-command EVAL "",重启redis即可...
常见中间件——Tomcat漏洞复现分析
qq_45751902的博客
10-31 2914
(net命令的路径要写全,直接写net user,Tomcat控制台会提示net不是内部命令,也不是可运行的程序,另 必须使用+号连接,使用空格,%2B都会执行失败,控制台报错。,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的所有Tomcat版本都包含所有操作系统上的潜在危险的CVE-2017-12615漏洞访问 http://127.0.0.1:8080/manager/html ,输入弱口令tomcat/tomcat进入后台(弱口令可以进行爆破)
Redis安全漏洞影响及加固方法
qq_40770143的博客
10-12 1万+
Redis安全漏洞影响及加固方法 Redis安全漏洞影响: 1、 Redis因配置不当可以授权访问,很容易被攻击者恶意利用。如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录、控制服务器,引发重要数据泄露或丢失,严重威胁用户业务和数据安全,风险极高,业界将此漏洞定位为高危漏洞。 2、 当前业界已暴出多起因Redis漏洞导致主机被入侵、业务中断、数据丢失...
Redis & lua的EVAL脚本操作
SaySomething
07-31 3411
Redis & EVAL脚本操作 redis安装参考: https://www.cnblogs.com/hnsongbiao/p/5232588.html 【PowerShell Run】: [one]: 命令: .\redis-server.exe --service-install .\redis.windows-service.conf --loglevel verbose .\re...
线上Redis禁用或重命名危险命令
qq_36101933的博客
09-29 4793
和Mysql中查询使用select*一样,Redis中线上使用keys *命令,也是非常危险的。因此线上的Redis必须考虑禁用一些危险的命令,或者尽量避免谁都可以使用这些命令,Redis没有完整的管理系统,但是也提供了一些方案。 Redis支持命令重命名和命令禁用。 看下Redis的配置文件 # Command renaming. 命令重命名 # # It is possible to chan...
redis授权访问漏洞修复
11-03
修复Redis授权访问漏洞,可以采取以下措施: ``` 代码块1: 1. 修改redis.conf配置文件,将bind 127.0.0.1改为bind 0.0.0.0,这样Redis只会监听本机的IP地址,而不是所有的IP地址。 2. 设置Redis密码,可以在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值