redis集群高位漏洞修复

最新推荐文章于 2024-01-22 20:36:58 发布
最新推荐文章于 2024-01-22 20:36:58 发布
阅读量8.9k 收藏 1
点赞数
分类专栏: redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43999932/article/details/108647282
版权

一.起因

这两天公司安全部检查,发现redis高位漏洞,之前同事搭建redis集群得时候竟然没有禁用高位命令!!!!并且也没有低权限运维redis.嗨,头秃难顶

二.解决方法

# 1.禁用高位redis命令
cd /data/redis # 进入redis目录
vim redis.conf # 编辑配置文件
rename-command KEYS "SMYKEYS"
rename-command FLUSHALL "SMYFLUSHALL"
rename-command FLUSHDB "SMYFLUSHDB"
rename-command CONFIG "SMYCONFIG"
rename-command EVAL "SMYEVAL"
# 加上这几行配置,每个节点都要执行,害

# 2.低权限运维redis
创建普通用户
useradd redis
授权
chown -R redis.redis /data/redis
reids-cli -h ip -p 端口 -a 密码 shutdown # 关闭redis节点,千万别用kill,kill得话aof和rds备份不会进行
切换普通用户
su redis
启动redis节点
redis-server /data/redis/redis.conf

注意事项:

  • 领导后来提醒我要看看最大文件打开数有没有调大,默认1024是不够redis使用得,ulimt -n命令查看到是65535,小问题虚惊一场
新手上路丶大家小心
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springcloud部署redis集群
09-20
在SpringCloud框架中,部署Redis集群是实现高可用、数据持久化和分布式缓存的关键步骤。Redis是一款高性能的键值数据库,广泛应用于缓存、消息队列等多种场景。SpringCloud通过集成Spring Data Redis模块,使得在...
SpringBoot集成Redis集群
09-28
SpringBoot集成Redis集群 在本文档中,我们将指导您如何在SpringBoot 2.X中集成Redis集群。下面是相关的知识点: 集成Redis集群的必要性 在实际应用中,使用Redis集群可以提高系统的可扩展性和可靠性。Redis集群...
Redis 未授权访问漏洞利用及修复
Thunderclap的博客
06-25 3939
Redis 未授权访问漏洞利用及修复
redis未授权访问漏洞修复方案
热门推荐
午夜安全
01-16 1万+
1.redis未授权访问漏洞 通过redis未授权访问漏洞,会造成敏感信息泄露,甚至被利用直接控制服务器,其危害不言而喻。但是在实际工作中,发现一些开发人员和运维人员并不知道如何妥善配置。因此有了本文,对redis的配置,建议就是2条,一个就是改强密码,一个就是改端口。 2.redis改密码和端口 给redis设置密码,密码应该由字母、数字、特殊符号组成。像123456,qwer1234这种弱口令肯定不合适,而Q1w@e3r4这种也不合适,因为它太随机、用的人太多,一般密码字典都会收录。所以密码的设置
Redis未授权访问漏洞复现与工具安装
Welcome To Myon'Blog !
01-11 2239
redis是一个数据库,默认端口是6379,redis默认是没有密码验证的,可以免密码登录操作,攻击者可以通过操作redis进一步控制服务器。Redis未授权访问影响版本为5.0.5以下,可以使用master/slave模式加载远程模块,通过动态链接库的方式执行任意命令。
redis未授权漏洞复现
weixin_64972949的博客
05-08 545
Redis,英文全称是Remote Dictionary Server(远程字典服务),是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。与MySQL数据库不同的是,Redis的数据是存在内存中的。它的读写速度非常快,每秒可以处理超过10万次读写操作。因此redis被广泛应用于缓存,另外,Redis也经常用来做分布式锁。除此之外,Redis支持事务、持久化、LUA 脚本、LRU 驱动事件、多种集群方案。
Redis漏洞利用总结】
最新发布
weixin_46356409的博客
01-22 1605
redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。Redis默认使用 6379 端口。
springboot整合redis集群零配置
07-28
在Spring Boot 2.1及以上版本中,我们可以利用`spring.redis.cluster.nodes`属性来实现零配置连接到Redis集群,只需将所有集群节点的IP和端口以逗号分隔的形式列出即可,如: ```properties spring.redis.cluster....
redis集群批量插入
11-23
本文将详细讨论如何在Java环境下连接Redis集群并实现批量插入String类型的数据。 首先,我们需要理解Redis集群的基本概念。Redis集群是通过分片(Sharding)技术来分散数据到多个节点,每个节点存储一部分数据。在...
Redis集群数据迁移操作文档
06-29
Redis集群数据迁移实战指南》 在IT领域,数据迁移是一项关键任务,特别是在使用Redis这样的高性能内存数据库时。本文将详细介绍如何进行Redis集群的数据迁移,包括全量和增量数据迁移,以及离线迁移的方法,主要...
redis集群windows启动脚本
06-18
在Windows环境下,设置和管理Redis集群可能相对复杂,但通过编写启动脚本可以实现一键启动,简化操作流程。以下将详细介绍如何创建并使用“redis集群windows启动脚本”。 1. **Redis集群概念** Redis集群Redis...
Redis集群弱/空密码问题整改
11-15
使用redis安装用户,在命令行连接上redis集群后,执行命令:config set requirepass 【自定义的强密码】,如: config set requirepass mypassword@#75@~ 然后执行 config rewrite 将配置密码持久化到redis配置文件...
docker-compose一键搭建Redis集群
06-12
1.先运行 createFile.py 输入宿主机IP地址,输入redis密码 2.按照控制台输出执行docker-compose up -d 启动命令 3.启动成功后执行加入集群命令即可
k8s集群搭建redis集群
09-22
k8s集群搭建redis集群 k8s集群搭建redis集群 k8s集群搭建redis集群 k8s集群搭建redis集群 k8s集群搭建redis集群
zabbix监控redis集群
03-25
本文将详细讲解如何使用Zabbix监控Redis集群,包括Zabbix服务器的安装、Redis集群的部署以及监控脚本的编写。 首先,我们要准备Redis服务器。在Linux环境中,通常使用`yum`命令来安装Redis。在遇到`yum install ...
漏洞复现之Redis未授权访问
m0_56190544的博客
09-13 2257
本文详细介绍了redis未授权访问漏洞的原理以及利用方法,供大家参考学习
提权的魅力——redis未授权漏洞
苟有恒,必有三更眠,五更起。
11-19 4618
0x00 靶场最后那个flag3在root目录下,是没有权限读的。 拿到flag2以后,下面有个那行redis是提示 , 他给了redis远程登陆的密码 , 可以用哪个东西提权以后再拿flag3 redis未授权访问的漏洞 0x01 redis是什么? Redis 是一个高性能的key-value数据库。 redis的出现,很大程度补偿了memcached这类key/value存储
Redis服务器应用漏洞
xlsj雪松的博客
03-16 440
1 redis是什么 Redis是现在最受欢迎的NoSQL数据库之一,Redis是一个非常快速的开源非关系、Key-Value数据库,通常称为数据结构服务器; Redis 在 Java Web 主要有两个应用场景: 存储 缓存 用的数据; 需要高速读/写的场合使用它快速读/写; NoSql的四大分类 1.键值(Key-Value)存储,如Redis(优势:快速查询 劣势:存储数据缺少结构化) 2.列存储,如HBase(优势:快速查询,扩展性强 劣势:功能相对局限) 3.文档数据库,如mongoD
Redis安全漏洞影响及加固方法
qq_40770143的博客
10-12 1万+
Redis安全漏洞影响及加固方法 Redis安全漏洞影响: 1、 Redis因配置不当可以未授权访问,很容易被攻击者恶意利用。如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录、控制服务器,引发重要数据泄露或丢失,严重威胁用户业务和数据安全,风险极高,业界将此漏洞定位为高危漏洞。 2、 当前业界已暴出多起因Redis漏洞导致主机被入侵、业务中断、数据丢失...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值