日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
加固Redis服務(wù)安全具體方法

Redis是當(dāng)前比較熱門的NOSQL系統(tǒng)之一,它是一個(gè)開源的使用ANSI c語(yǔ)言編寫的key-value存儲(chǔ)系統(tǒng)(區(qū)別于MySQL的二維表格的形式存儲(chǔ)。)。和Memcache類似,但很大程度補(bǔ)償了Memcache的不足。

創(chuàng)新互聯(lián)主要業(yè)務(wù)有網(wǎng)站營(yíng)銷策劃、網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)、微信公眾號(hào)開發(fā)、小程序開發(fā)、HTML5、程序開發(fā)等業(yè)務(wù)。一次合作終身朋友,是我們奉行的宗旨;我們不僅僅把客戶當(dāng)客戶,還把客戶視為我們的合作伙伴,在開展業(yè)務(wù)的過程中,公司還積累了豐富的行業(yè)經(jīng)驗(yàn)、營(yíng)銷型網(wǎng)站建設(shè)資源和合作伙伴關(guān)系資源,并逐漸建立起規(guī)范的客戶服務(wù)和保障體系。 

漏洞描述

Redis 因配置不當(dāng)存在未授權(quán)訪問漏洞,可以被攻擊者惡意利用。

在特定條件下,如果 Redis 以 root 身份運(yùn)行,黑客可以給 root 賬號(hào)寫入 SSH 公鑰文件,直接通過 SSH 登錄受害服務(wù)器,從而獲取服務(wù)器權(quán)限和數(shù)據(jù)。一旦入侵成功,攻擊者可直接添加賬號(hào)用于 SSH 遠(yuǎn)程登錄控制服務(wù)器,給用戶的 Redis 運(yùn)行環(huán)境以及 Linux 主機(jī)帶來安全風(fēng)險(xiǎn),如刪除、泄露或加密重要數(shù)據(jù),引發(fā)勒索事件等。

受影響范圍

在 Redis 客戶端,測(cè)試Redis是否設(shè)置密碼:

root@kali:~# redis-cli -h 10.16.10.2
redis 10.16.10.2:6379> keys *
1) "1"`

從登錄結(jié)果可以看出,該 Redis 服務(wù)對(duì)公網(wǎng)開放,且未啟用認(rèn)證。

修復(fù)方案

禁止監(jiān)聽在公網(wǎng)

指定 Redis 服務(wù)使用的網(wǎng)卡

默認(rèn)情況下,Redis 監(jiān)聽 127.0.0.1。如果僅僅是本地通信,請(qǐng)確保監(jiān)聽在本地。

這種方式可以在一定程度上緩解 Redis 未授權(quán)訪問的風(fēng)險(xiǎn)(例外情況下,如果 Redis 以 root 用戶運(yùn)行,攻擊者借助已有的 webshell,就可以利用該 Redis 來反彈 shell 以實(shí)現(xiàn)提權(quán))。

在redis.conf文件中找到 # bind 127.0.0.1,將前面的 # 去掉,然后保存。

該操作需要重啟Redis 才能生效。

修改后只有本機(jī)才能訪問 Redis,也可以指定訪問源 IP 來訪問 Redis。

bind 192.168.1.100 10.0.0.1

修改默認(rèn)6379端口

port 6377

編輯文件redis的配置文件redis.conf,找到包含port的行,將默認(rèn)的6379修改為自定義的端口號(hào),重啟redis生效

設(shè)置防火墻策略

如果正常業(yè)務(wù)中 Redis 服務(wù)需要被其他服務(wù)器來訪問,可以通過 iptables 策略,僅允許指定的 IP 來訪問 Redis 服務(wù)。

iptables -A INPUT -s x.x.x.x -p tcp --dport 6379 -j ACCEPT

賬號(hào)與認(rèn)證

設(shè)置訪問密碼:在 redis.conf中找到 requirepass字段,去掉其注釋,并在后面填上需要的密碼。Redis 客戶端也需要使用此密碼來訪問 Redis 服務(wù)。

打開 /etc/redis/redis.conf配置文件:

requirepass www.dgstack.cn12332@@#$%@!%

確保密碼的復(fù)雜度,配置完畢后重啟服務(wù)即可生效。

服務(wù)運(yùn)行權(quán)限最小化

使用root切換到redis用戶啟動(dòng)服務(wù):

useradd -s /sbin/nolog -M redis
sudo -u redis //redis-server //redis.conf

注意:該操作需要重啟 Redis 才能生效。

禁用或者重命名危險(xiǎn)命令

隱藏重要命令:Redis 無(wú)權(quán)限分離,其管理員賬號(hào)和普通賬號(hào)無(wú)明顯區(qū)分。攻擊者登錄后可執(zhí)行任意操作,因此需要隱藏以下重要命令:FLUSHDB, FLUSHALL, KEYS,PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME,DEBUG, 。

另外,在 Redis 2.8.1 及 Redis 3.x (低于 3.0.2) 版本下存在 沙箱逃逸漏洞,攻擊者可通過該漏洞執(zhí)行任意 Lua 代碼。

下述配置將 config/flushdb/flushall 設(shè)置為空,即禁用該命令;也可設(shè)置為一些復(fù)雜的、難以猜測(cè)的名字。

rename-command FLUSHALL ""
rename-command FLUSHDB  ""
rename-command CONFIG   ""
rename-command KEYS     ""
rename-command SHUTDOWN ""
rename-command DEL ""
rename-command  ""

然后重啟redis。

重命名為”” 代表禁用命令,如想保留命令,可以重命名為不可猜測(cè)的字符串,如:

rename-command FLUSHALL joYAPNXRPmcarcR4ZDgC

打開保護(hù)模式

redis默認(rèn)開啟保護(hù)模式。要是配置里沒有指定bind和密碼,開啟該參數(shù)后,redis只能本地訪問,拒絕外部訪問。

redis.conf安全設(shè)置: # 打開保護(hù)模式 protected-mode yes

安全補(bǔ)丁

定期關(guān)注最新軟件版本,并及時(shí)升級(jí) Redis 到最新版,防止新漏洞被惡意利用。

排查病毒思路(挖礦病毒)

Redis服務(wù)安全加固的說明Redis服務(wù)安全加固的說明


分享文章:加固Redis服務(wù)安全具體方法
文章位置:http://m.5511xx.com/article/cogejje.html