redis 公网 安全_redis安全加固方案

最新推荐文章于 2024-03-29 12:49:48 发布
最新推荐文章于 2024-03-29 12:49:48 发布
阅读量196 收藏
点赞数
文章标签: redis 公网 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39823459/article/details/111802206
版权

一. redis及redis漏洞简介

Redis是美国毕威拓(Pivotal)公司赞助开发的一套开源的使用ANSI C语言编写的,基于内存和键值对存储的数据库系统。Redis默认情况下会开启6379端口,在认证未开启的情况下,可导致任意用户进行未授权访问操作。

Redis安全模型观念:请不要将Redis暴漏在公网之上,因为让不受信任的客户接触Redis是非常危险的。

Redis公开漏洞查询网站:http://cve.mitre.org/

http://cve.scap.org.cn/

Redis相应CVE编号:

二.redis漏洞影响范围

Redis暴漏在公网(即绑定在0.0.0.0:6379,目标IP公网可访问),且没有开启相关认证及设置相应安全策略的情况下,存在被攻击利用的风险。

三.漏洞修复方案

厂商修复方案:暂无

安全社区参考修复方案:

(1)网络加固

如果仅为本地通信,请确保redis监听在本地。具体设置:/etc/redis/redis.conf中配置如下:    bind 127.0.0.1

(二)防火墙设置

如果需要其他机器访问,或者设置了Master-Slave模式,需添加防火墙设置,具体参考如下:

/sbin/iptables  -A INPUT -s x.x.x.x -p tcp --dport 6379 -j ACCEPT

(三)添加认证

默认情况下,redis未开启密码认证。开启认证模式,具体参考如下配置:

打开 /etc/redis/redis.conf,找到requirepass参数,设置密码,保存redis.conf,最后重启redis服务,/etc/init.d/redis-server restart

(四)设置单独账户

可设置一个单独的redis账户。创建redis账户,通过该账户启动redis服务,具体操作如下:setsid sudo -u redis /usr/bin/redis-serer /etc/redis/redis.conf

(五)重命名重要命令

redis没有权限分离之说,无管理员账号和普通账户之分,导致攻击者登陆后可执行任意操作,因此需要隐藏重要命令,具体如下:FLUSHDB, FLUSHALL, KEYS,PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME,DEBUG, EVAL等。

在redis2.8.1 及 redis3.x(<3.0.2) 版本下存在eval沙箱逃逸漏洞,攻击者可通过该漏洞执行任意Lua代码。

具体缓解攻击操作,供参考:下述配置将config/flushdb/flushall设置为空,即禁用该命令;也可命名一些攻击者难以猜解的名字。

rename-command CONFIG “”

rename-command flushall ""

rename-command flushdb ""

rename-command shutdown shotdown_test

保存后,执行/etc/init.d/redis-server restart重启生效。

参考文章:

http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/

http://antirez.com/news/96

文章归档:http://secscorpio.top/?p=111

weixin_39823459
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
暴露在环境下主机的安全防护
banxianqiu2946的博客
08-18 4642
前言:服务器安全问题是每个运维从事人员不可避免的一部分工作,在linux管理界乃至计算机界也都是一个首要考虑的问题。最近司的部分机器需要暴露在环境下,如果不做安全策略的话,可能睡到半夜就会被叫起来处理问题,为睡眠安稳计,为工作质量计,特整理下关于基本安全防护的注意点与可操作点: 司的部分主机需要能够与通信,相应的,远程连接安全是肯定需要做加固的,而一台主机基本的安全策略应包...
redis-6.2.6_win10.zip
11-21
目前redis6版本没有win版本,这里通过Cygwin64进行编译成win10可执行的redis软件包。
Redis数据库安全加固
人生就是不断地学习
10-20 633
加固文档适用于Redis数据库。明确了Redis数据库安全配置方面的基本要求。
如何避免IP安全风险
最新发布
小湘西的博客
03-29 1158
部署入侵检测系统(IDS)和入侵预防系统(IPS)来监控和分析入站和出站的络流量,以便及时发现和响应可疑活动。确保操作系统和所有运行的服务都是最新的,并且应用了所有安全补丁。如果需要远程访问络,使用虚拟私人络(VPN)来加密数据传输,并隐藏真实的IP地址。定期进行系统和络的安全审计,保持对事件日志的监控,这样可以快速发现并响应安全事件。确保系统上的用户和服务仅具有它们执行任务所必需的权限,不要给予不必要的系统访问权限。为所有的站和服务配置SSL/TLS加密,确保数据在传输过程中的安全
Redis安全配置
bixiong5116的博客
07-16 272
一.安装redis服务端sudo apt-get install redis-server 二.查看redis服务端进程ps -aux|grep redis 三.Redis服务器状态netstat -nlt| grep 6379 四.安全配置设置只有内IP可以访问1、将redis.conf里的bind 127.0.0.1 修改成本机本地IP2、仅对特定IP开放该端口firewall-cmd --...
Redis集群安全加固
武天旭的博客
05-16 418
默认情况下,Redis不执行任何密码身份验证。能够通过IP端口连接Redis的客户端均可以直接访问Redis中的数据。在启动Redis服务时,通过设置requirepass为true来打开身份验证。启用身份验证后,Redis将拒绝未经身份验证的客户端的查询。客户端需要通过发送AUTH命令和密码来对自己进行身份验证。在云原生平台下,将密码信息保存为Kubernetes的Secrets资源,然后在redis deployment声明文件中引用。此时再访问Redis,就会提示限制登录。
Redis安全加固
qq_43590351的博客
10-13 2150
redis安全加固
Redis_Windows_6.2.6版本
06-28
Redis 是一个高性能的key-value数据库。 redis的出现,很大程度补偿了memcached这类key/value存储的不足,在部 分场合可以对关系数据库起到很好的补充作用。它提供了Java,C/C++,C#,PHP,JavaScript,Perl,Object...
redis_redis_python_
10-01
通过python语言对mysql数据库进行操作,包括连接、上传、下载等操作
simple-redis_redis_C++_
10-03
简单的Redis C++封装类,Linux 下编译。
RedisDemo1_redis_noonsdg_
10-04
这个主要演示了redis基础数据类型,熟悉一些基本的用法和java与redis连接配置。
Redis安全加固策略:配置文件权限设置 & 配置本地日志存储目录 & 连接超时时间限制
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
03-03 1万+
Redis安全加固策略:配置文件权限设置 & 配置本地日志存储目录 & 连接超时时间限制
Redis沙盒逃逸漏洞(CVE-2022-0543)复现以及流量特征分析
xhscxj的博客
02-03 1837
Redis Labs Redis是美国Redis Labs司的一套开源的使用ANSI C编写、支持络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。
Redis安全加固策略:服务账号管理 & 开启redis密码认证 & 开启防护模式
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
03-03 1万+
Redis安全加固策略:服务账号管理 & 开启redis密码认证 & 开启防护模式
Redis Lua沙盒绕过命令执行(CVE-2022-0543)
m0_62373986的博客
12-27 442
Redis是著名的开源Key-Value数据库,其具备在沙箱中执行Lua脚本的能力。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。
redis - 保护好redis服务器,做好必要的安全设置
moliyiran的专栏
12-29 553
0x01 限制内访问,或者只限制本机访问 只监听内的IP,然后在iptables里面限制访问的主机: 在/etc/redis/redis.conf中配置如下: bind 192.168.12.100 如果服务只需要本机访问就直接监听127.0.0.1的回环地址就可以了。 0x02 设置防火墙 如果需要其他机器访问,或者设置了slave模式,那就记得加上相应的防火墙设置,命...
python开发linux桌面应用_基于python开发linuxGUI应用,哪个IDE比较好
weixin_39612332的博客
12-04 593
{"moduleinfo":{"card_count":[{"count_phone":1,"count":1}],"search_count":[{"count_phone":9,"count":9}]},"card":[{"des":"兼容Redis协议标准的、提供持久化的内存数据库服务,基于高性价比的单节点架构、高可靠双机热备架构及可无缝扩展的集群架构,满足纯缓存业务、高读写性能场景及容量需...
Redis安全漏洞影响及加固方法
qq_40770143的博客
10-12 1万+
Redis安全漏洞影响及加固方法 Redis安全漏洞影响: 1、 Redis因配置不当可以未授权访问,很容易被攻击者恶意利用。如果Redis以root身份运行,黑客可以给root账户写入SSH钥文件,直接通过SSH登录、控制服务器,引发重要数据泄露或丢失,严重威胁用户业务和数据安全,风险极高,业界将此漏洞定位为高危漏洞。 2、 当前业界已暴出多起因Redis漏洞导致主机被入侵、业务中断、数据丢失...
修补--Redis未授权访问漏洞
weixin_30342209的博客
01-09 325
--------------------------------阿里云解决方案-----------------------------------一.漏洞描述Redis因配置不当可以导致未授权访问,被攻击者恶意利用。当前流行的针对Redis未授权访问的一种新型攻击方式,在特定条件下,如果Redis以root身份运行,黑客可以给root账户写入SSH钥文件,直接通过SSH登录受害服务器,可导致服...
redis 返回值 REDIS_REPLY_NIL
05-10
REDIS_REPLY_NIL 是 Redis 返回值中的一种,表示 Redis 中不存在对应的键值。当我们使用 Redis 的 GET 命令获取一个不存在的键值时,Redis 会返回 REDIS_REPLY_NIL。同样地,当我们使用 DEL 命令删除一个不存在的键...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值