redis漏洞
入侵特征 安全隐患redis安全规范
禁止root用户启动 限制redis文件目录访问权限 开启密码认证,设置复杂密码 禁用或重命名危险命令 设置允许监听地址,不要使用0.0.0.0 尽量修改默认端口6379 信任的内网运行,尽量避免有公网访问Redis默认情况下,会绑定在0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功在Redis服务器上写入公钥,进而可以使用对应私钥直接登录目标服务器。
加强Redis的安全性,提供以下安全规范。
备注:如果修改redis配置文件redis.conf,并且重启redis服务后生效。
为Redis服务创建单独的用户和home目录,使用普通用户启动,安全性往往高很多;
业务程序永久别用root用户运行。设置redis的主目录权限为700;如果redis配置文件独立于redis主目录,权限修改为600,因为Redis密码明文存储在配置文件中。
$chmod700/var/lib/redis#redis目录 $chmod600/etc/redis/redis.conf#redis配置文件redis没有实现访问控制这个功能,但是它提供了一个轻量级的认证方式,可以编辑redis.conf配置来启用认证。
redis因查询效率高,auth这种命令每秒能处理10w次以上,简单的redis的密码极容易为攻击者暴破。
requirepass至少长度20位以上,为方便可使用一个特殊串sha256sum命令生成64位的无特殊字符串。 $echo"dfasdERQEWRQEW31341dfadsfadsf"|sha256sum af970b3691a0774b2a5adae1375e14cd9e5db3591564f0eb789c2324cc02362f-1、初始化Redis密码:
在配置文件中有个参数:requirepass这个就是配置redis访问密码的参数;
比如requirepasstest123;
(Ps:需重启Redis才能生效)
redis的查询速度是非常快的,外部用户一秒内可以尝试多大150K个密码;所以密码要尽量长(对于DBA没有必要必须记住密码);
2、不重启Redis设置密码:
在配置文件中配置requirepass的密码(当redis重启时密码依然有效)。
redis127.0.0.1:6379>configsetrequirepassed4c39b015b0e46f074dbfd0a9a4ab278f63340a6d640999f25c68a932fef815查询密码:
redis127.0.0.1:6379>configgetrequirepass (error)ERRoperationnotpermitted密码验证:
redis127.0.0.1:6379>authed4c39b015b0e46f074dbfd0a9a4ab278f63340a6d640999f25c68a932fef815 OK再次查询:
redis127.0.0.1:6379>configgetrequirepass 1)"requirepass" 2)"ed4c39b015b0e46f074dbfd0a9a4ab278f63340a6d640999f25c68a932fef815"PS:如果配置文件中没添加密码那么redis重启后,密码失效;
3、登陆有密码的Redis:
在登录的时候的时候输入密码:
redis-cli-p6379-aed4c39b015b0e46f074dbfd0a9a4ab278f63340a6d640999f25c68a932fef815先登陆后验证:
redis-cli-p6379 redis127.0.0.1:6379>authed4c39b015b0e46f074dbfd0a9a4ab278f63340a6d640999f25c68a932fef815 OKAUTH命令跟其他redis命令一样,是没有加密的;阻止不了攻击者在网络上窃取你的密码;
认证层的目标是提供多一层的保护。如果防火墙或者用来保护redis的系统防御外部攻击失败的话,外部用户如果没有通过密码认证还是无法访问redis的。
这个漏洞就利用config/save两个命令完成攻击。因redis无用户权限限制,建议危险的命令,使用rename配置项进行禁用或重命名,这样外部不了解重命名规则攻击者,就不能执行这类命令。
以下示例:redis.config文件禁用FLUSHDB、FLUSHALL两个命令;重命名CONFIG、SHUTDOWN命令,
添加一个特殊的后缀。这样redis启动后,只能运行CONFIG_b9fc8327c4dee7命令,不能执行CONFIG命令。 #Itisalsopossibletocompletelykillacommandbyrenamingitinto #anemptystring: # rename-commandCONFIGCONFIG_b9fc8327c4dee7 rename-commandSHUTDOWNSHUTDOWN_b9fc8327c4dee7 rename-commandFLUSHDB""#禁用此命令 rename-commandFLUSHALL""#禁用此命令redis.conf配置文件:
bind127.0.0.1192.168.13.12
通常我都设置为bind0.0.0.0,允许远程连接,但这是不安全的。修改后重启redis服务。
redis.conf配置文件:
port6666
默认端口为6379。
redis自身只有一个密码控制访问,不能设置用户权限和IP限制。理论把redis运行在一个信任的网络环境中
监控redis安全状态,cmdstat_authcmdstat_flushdb/flushall监控报警。
Redis设计旨在提供高性能的KV服务,至少目前在权限访问控制和数据持久化方面比较弱化。所以禁止在Redis中存储或缓存敏感的明文数据。
针对之前Redis版本,默认无bind和密码设置存在很大安全风险;Redis3.2版本提出新特性protectedmode(保护模式)。
如果Redis在启动时,未开启bind和密码设置功能,只能通过回环地址本地访问,如果尝试远程访问redis,会提示以下错误:DENIEDRedisisrunningprotectedmodebecauseprotectedmodeisenabled, nobindaddresswasspecified,noauthenticationpasswordisrequestedtoclients. Inthismodeconnectionsareonlyacceptedfromtheloopbackinterface.
当然也可直接执行CONFIGSETprotected-modeno,关闭保护模式。
rediscluster不支持密码。最常用到的是redis-cli
redis-cli-help查看参数
远程连接
redis-cli-hHOST-pPORT-aPassword 如: redis-cli-h127.0.0.1-p6379-atest123执行命令
redis-cli-hHOST-pPORTCOMMAND 如: $redis-cli-h127.0.0.1-p6379gethello "world"关于命令这篇总结的比较好:https://www.cnblogs.com/kongzhongqijing/p/6867960.html
本文内容总结:目录,Redis漏洞,入侵特征,满足以下条件Redis实例存在此安全隐患,Redis安全规范,禁止root用户启动redis,限制redis文件目录访问权限,开启redis密码,并设置高复杂度密码,禁用或重命名危险命令,配置redis仅监听在本地地址,修改默认6379端口,信任的内网运行,尽量避免有公网访问,其它,redis相关命令,
原文链接:https://www.cnblogs.com/zhoujie/p/redis2.html相关推荐
数学中有许多类型的级数,可以在C编程中轻松解决。该程序是在C程序中找到系列后继的和。Tn = n2 - (n-1 2...
要从全部四列中找到最低分,请使用MySQLLEAST( 函数。让我们首先创建一个表-create table DemoTable( Score1 int,...
