Redis加固方案之一
禁用或重命名危險命令【高危】
描述:
Redis中線上使用keys *命令,也是非常危險的。因此線上的Redis必須考慮禁用一些危險的命令,或者盡量避免誰都可以使用這些命令,Redis沒有完整的管理系統,但是也提供了一些方案。
加固建議
修改 redis.conf 文件,添加 ```
rename-command FLUSHALL ""
rename-command FLUSHDB ?""
rename-command CONFIG ? ""
rename-command KEYS ? ? ""
rename-command SHUTDOWN ""
rename-command DEL ""
rename-command EVAL "" ```
然后重啟redis。 重命名為"" 代表禁用命令,如想保留命令,可以重命名為不可猜測的字符串,如: `rename-command FLUSHALL ?joYAPNXRPmcarcR4ZDgC`
------------------------------------------------------------------------------------------------------------------------------
限制redis 配置文件訪問權限 | 文件權限 【高危】
描述 因為redis密碼明文存儲在配置文件中,禁止不相關的用戶訪問改配置文件是必要的,設置redis配置文件權限為600,
?加固建議
執行以下命令修改配置文件權限:
chmod 600 /<filepath>/redis.conf
------------------------------------------------------------------------------------------------------------------------------
修改默認的6379端口【高危】
描述
避免使用熟知的端口,降低被初級掃描的風險
加固建議
編輯文件redis的配置文件redis.conf,找到包含port的行,將默認的6379修改為自定義的端口號,然后重啟redis
---------------------------------------------------------------------------------------------------------------------------------
開啟redis密碼認證,并設置高復雜度密碼?|?身份鑒別【高危】
描述
redis在redis.conf配置文件中,設置配置項requirepass, 開戶密碼認證。 redis因查詢效率高,auth這種命令每秒能處理9w次以上,簡單的redis的密碼極容易為攻擊者暴破。
加固建議
打開redis.conf,找到requirepass所在的地方,修改為指定的密碼,密碼應符合復雜性要求:
?1、長度8位以上
2、包含以下四類字符中的三類字符: 英文大寫字母(A 到 Z) 英文小寫字母(a 到 z) 10 個基本數字(0 到 9) 非字母字符(例如 !、$、#、%、@、^、&)
3、避免使用已公開的弱密碼,如:abcd.1234 、admin@123等 ```
再去掉前面的#號注釋符,然后重啟redis
-----------------------------------------------------------------------------------------------------------------------------------
禁止使用root用戶啟動?|?訪問控制【高危】
描述
使用root權限去運行網絡服務是比較有風險的(nginx和apache都是有獨立的work用戶,而redis沒有)。redis crackit 漏洞就是利用root用戶的權限來替換或者增加authorized_keys,來獲取root登錄權限的
加固建議
使用root切換到redis用戶啟動服務:
useradd -s /sbin/nolog -M redis
sudo -u redis /<redis-server-path>/redis-server /<configpath>/redis.conf
-----------------------------------------------------------------------------------------------------------------------------------
禁止監聽在公網 | 訪問控制 【高危】
描述
Redis監聽在0.0.0.0,可能導致服務對外或內網橫向移動滲透風險,極易被黑客利用入侵。
加固建議
在redis的配置文件redis.conf中配置如下: bind 127.0.0.1或者內網IP,然后重啟redis
-----------------------------------------------------------------------------------------------------------------------------------
打開保護模式 | 訪問控制 【高危】
描述 redis默認開啟保護模式。要是配置里沒有指定bind和密碼,開啟該參數后,redis只能本地訪問,拒絕外部訪問。
加固建議
redis.conf安全設置:
# 打開保護模式 protected-mode yes
操作時建議做好?或備份
總結
以上是生活随笔為你收集整理的Redis加固方案之一的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【收音机】 - 龙卷风 - http:/
- 下一篇: linux cmake编译源码,linu