redis密码登录_Redis服务安全加固的说明

最新推荐文章于 2023-09-14 17:56:34 发布
最新推荐文章于 2023-09-14 17:56:34 发布
阅读量370 收藏 1
点赞数
文章标签: redis密码登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39928686/article/details/111613972
版权

漏洞描述

Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用。

在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件,直接通过 SSH 登录受害服务器,从而获取服务器权限和数据。一旦入侵成功,攻击者可直接添加账号用于 SSH 远程登录控制服务器,给用户的 Redis 运行环境以及 Linux 主机带来安全风险,如删除、泄露或加密重要数据,引发勒索事件等。

受影响范围

在 Redis 客户端,测试Redis是否设置密码:

root@kali:~# redis-cli -h 10.16.10.2redis 10.16.10.2:6379> keys *1) "1"`

从登录结果可以看出,该 Redis 服务对公网开放,且未启用认证。

修复方案

禁止监听在公网

指定 Redis 服务使用的网卡

默认情况下,Redis 监听 127.0.0.1。如果仅仅是本地通信,请确保监听在本地。

这种方式可以在一定程度上缓解 Redis 未授权访问的风险(例外情况下,如果 Redis 以 root 用户运行,攻击者借助已有的 webshell,就可以利用该 Redis 来反弹 shell 以实现提权)。

在redis.conf文件中找到 # bind 127.0.0.1,将前面的 # 去掉,然后保存。

该操作需要重启Red

最低0.47元/天 解锁文章
weixin_39928686
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Redis服务安全加固1
08-08
Redis服务安全加固1
redis加固.pdf
最新发布
03-15
redis加固
Redis设置密码
热门推荐
m0_58746619的博客
07-19 8万+
找到requirepass关键字,后面跟的就是密码,默认是注释掉的,即不需要密码。执行完毕,无需重启,退出客户端,重新登录就需要输入密码了。注释打开,后面修改为自己的密码。wq保存退出,重启服务器即可。...
Redis使用密码登录
m0_67402914的博客
03-23 8500
(1)进入redis客户端安装目录: (2)输入命令:redis-cli.exe -h 主机号 -p 端口号 如:redis-cli.exe -h 127.0.0.1-p 6379 (3)输入密码命令:auth 密码 若显示OK则登录成功:
如何给Redis设置密码
wh柒八九的博客
11-08 1万+
首先下载一个redis的windows版本,启动redis服务端即可redis服务端启动如下图所示,redis默认的启动端口是6379。
redis设置密码
weixin_55229531的博客
06-10 3万+
redis设置密码
redis加固v2.pdf
03-15
redis加固v2
warlock:使用Redis的经过战斗加固的分布式锁定
05-02
术士 使用Redis进行了严格的分布式锁定。要求与v0.10兼容Redis v2.6.12或更高版本。 如果您正在运行从v2.6.0到v2.6.11含)的Redis版本,请使用此模块的v0.0.7 。安装npm install node-redis-warlock用法const ...
linux操作系统安装后完成的安全加固的配置
03-11
6. Root用户内置ansible控制端公钥可以直接root登录,Sshd服务端 禁止root密码登录 使用公钥或者普通用户登录后su或者sudo 禁止dns,Ssh客户端开启持久连接,加密算法使用椭圆曲线ecdsa 7. dns解析,时间同步,日志...
Redis密码登录
lied1663634806的博客
09-14 489
redis根目录,打开“”文件,找到“# requirepass foobared”,通过requirepass设置密码:123456。在ip:port前面加上@用来表示密码,比如12345@ip:port。
转:Redis使用认证密码登录
09-23 722
Redis默认配置是不需要密码认证的,也就是说只要连接Redis服务器的host和port正确,就可以连接使用。这在安全性上会有一定的问题,所以需要启用Redis的认证密码,增加Redis服务器的安全性。 1. 修改配置文件 Redis的配置文件默认在/etc/redis.conf,找到如下行: #requirepass foobared 去掉前面的注释,并修改为所需要的密码: requirepass myPassword (其中myPassword就是要设置的密码) 2. 重启Redis
java redis密码_Redis 密码设置和查看密码
weixin_30527151的博客
02-12 1470
redis没有实现访问控制这个功能,但是它提供了一个轻量级的认证方式,可以编辑redis.conf配置来启用认证。1、初始化Redis密码:在配置文件中有个参数: requirepass 这个就是配置redis访问密码的参数;比如 requirepass test123;(Ps:需重启Redis才能生效)redis的查询速度是非常快的,外部用户一秒内可以尝试多大150K个密码;所以密码要尽量长(...
Redis服务的安全解决方案
liuerpeng1904的博客
10-11 1828
执行以下命令修改配置文件权限:(表示只有拥有者可读可写)
redis初始化密码使用密码登录
qq_52183856的博客
05-05 2339
redis初始化密码使用密码登录
Redis-密钥登录ssh,免密码
weixin_54227009的博客
06-06 1860
1、在kali上生成密钥命令:ssh-keygen -t rsa因为我这里有了,所以y选择了覆盖如果是想无密码登录的话,则直接enter跳过2、 因为我这里config set dir /root/.sshdir有问题,所以我直接就把生成的密钥放目标靶机的/root/.ssh/authorized_key文件下了原操作应该是:(echo -e "\n\n"; cat id_rsa.pub;echo -e "\n\n")>key.txt防止乱码,将公钥写入key.txt中将key.txt导入进目标机器cat
Redis从客户端登录服务
翔之天空的专栏
10-30 1万+
本次演示是一个服务服务器 ip:192.168.56.56    一个客户端服务器ip:192.168.56.57 从192.168.56.56本地客户端访问192.168.56.56本地数据库服务 [root@shanxi src]# ./redis-cli 127.0.0.1:6379> ping PONG 从192.168.56.57本地客户端访问192.168.56.56远程
Linux下Redis服务安全加固
06-07
为了保证Linux下Redis服务的安全性,可以考虑以下几个方面进行加固: 1. 修改Redis默认端口号:默认情况下,Redis使用的端口是6379,这个端口比较容易被攻击者扫描到,因此建议修改默认端口号。 2. 配置Redis密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值