Linux永久关闭redis保护,redis - 保护好redis服务器,做好必要的安全设置

0x00 前言

运维不是维护好服务就好,更应该注意安全。

9902301274d5f31dc41b8109d0508b28.png

0x01 限制内网访问,或者只限制本机访问

只监听内网的IP,然后在iptables里面限制访问的主机:

在/etc/redis/redis.conf中配置如下:

bind 192.168.12.100

如果服务只需要本机访问就直接监听127.0.0.1的回环地址就可以了。

0x02 设置防火墙

如果需要其他机器访问,或者设置了slave模式,那就记得加上相应的防火墙设置,命令如下:

iptables -A INPUT -s 192.168.12.10/32 -p tcp --dport 6379 -j ACCEPT

7df7ce8b83e91be5597b40230e922b8a.png

0x03 禁止root用户启动redis

使用root权限去运行网络服务是比较有风险的(nginx和apache都是有独立的work用户,而redis没有)。edis crackit 漏洞就是利用root用户的权限来替换或者增加authorized_keys,来获取root登录权限的。

useradd -s /sbin/nolog -M redissetsid sudo -u redis /usr/bin/redis-server /etc/redis/redis.conf # 使用root切换到redis用户启动服务

0x04 限制redis文件目录访问权限

设置redis的主目录权限为700,如果redis配置文件独立于redis主目录,权限修过为600,因为redis密码明文存储在配置文件中。

0x05 避免使用熟知的端口,降低被初级扫描的风险

在/etc/redis/redis.conf中配置如下:

找到port 6379这行,把6379改为9999,记得iptables对应的端口要修改

0x06 开启redis密码认证,并设置高复杂度密码

redis在redis.conf配置文件中,设置配置项requirepass, 开户密码认证。

redis因查询效率高,auth这种命令每秒能处理10w次以上,简单的redis的密码极容易为攻击者暴破。

0x07 禁用或者重命名危险命令

edis crackit漏洞就利用config/save两个命令完成攻击 。 因redis无用户权限限制,建议危险的命令,使用rename配置项进行禁用或重命名,这样外部不了解重命名规则攻击者,就不能执行这类命令。涉及到的命令:

FLUSHDB, FLUSHALL, KEYS, PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME, DEBUG, EVAL`

以下示例:redis.config文件禁用FLUSHDB、FLUSHALL两个命令;重命名CONFIG、SHUTDOWN命令,添加一个特殊的后缀。 这样redis启动后,只能运行CONFIG_b9fc8327c4dee7命令,不能执行CONFIG命令。

rename-command CONFIG CONFIG_des327c4dee7dfsfrename-command SHUTDOWN SHUTDOWN_des327c4dee7dfsfrename-command FLUSHDB ""rename-command FLUSHALL ""

上述配置将config,flushdb,flushall设置为了空,即禁用该命令,我们也可以命名为一些攻击者难以猜测,我们自己却容易记住的的名字。保存之后,执行/etc/init.d/redis-server restart 重启生效。

cc830b166eba521a6c6098cb81389574.png

举报/反馈

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值