圈圈圆圆圈圈

文章 分类 评论
24 23 17

站点介绍

这里是站点介绍...

redis安全配置

admin 2020-04-22 1279 1条评论 redisDATABASE

首页 / 正文
  • 问题描述
Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis的数据。未授权用户可直接覆盖/root/.ssh/authorized_keys 上传公钥直接用root账号登陆ssh服务器。
  • 入侵特征:
  1. Redis 可能执行过 FLUSHALL 方法,整个 Redis 数据库被清空
  2. 在 Redis 数据库中新建了一个名为 crackit(网上流传的命令指令) 的键值对,内容为一个 SSH 公钥。
  3. 在 /root/.ssh 文件夹下新建或者修改了 authorized_keys 文件,内容为 Redis 生成的 db 文件,包含上述公钥
  • 解决方式:

1. bind指定IP监听

修改redis绑定的IP 如果只在本机使用redis服务那么只要绑定127.0.0.1 如果其他主机需要访问redis服务那么只绑定客户主机所在网络的接口 最好不要绑定0.0.0.0 另外需要通过主机内置的防火墙如iptables,或者其他外置防火墙禁止非业务主机访问redis服务。

# vim /usr/local/redis/redis.conf
bind 127.0.0.1 

2.设置访问密码

在 redis.conf 中找到“requirepass”字段,取消注释并在后面填上你需要的密码。 注:修改redis的配置需要重启redis才能生效。

# vim /usr/local/redis/redis.conf
requirepass  yourpassword

3. 使用普通用户启动redis

使用普通用户启动redis,并且禁止该用户启动shell,禁止使用root用户启动redis
useradd redis -s /sbin/nologin -M
cp -a ./redis /usr/local/
cd /usr/local/redis

vim ./redis.conf  #编辑redis配置文件变更以下内容
#将`pidfile /var/run/redis.pid`修改为`pidfile /usr/local/redis/run/redis.pid`
#将`dir ./`修改为`dir vim ./redis.conf  #编辑redis配置文件变更以下内容
dir /usr/local/redis/dbredis
mkdir run
mkdir dbredis
chown -R redis. /usr/local/redis/
# cat /usr/lib/systemd/system/redis.service 
[Unit]
Description=Redis
After=network.target
[Service]
ExecStart=/usr/local/redis/src/redis-server /usr/local/redis/redis.conf  --daemonize no
ExecStop=/usr/local/redis/src/redis-cli -h 127.0.0.1 -p 6379 shutdown
PrivateTmp=true
User=redis
Group=redis
[Install]
WantedBy=multi-user.target

redis在线查看和修改配置

查看配置文件中的监听地址
127.0.0.1:6379> CONFIG GET bind
1) "bind"
2) "127.0.0.1 "

#查看dir
127.0.0.1:6379> CONFIG GET dir
1) "dir"
2) "/usr/local/redis/dbredis"

#查看所有配置
127.0.0.1:6379> CONFIG GET *

#修改配置,即时生效
127.0.0.1:6379> CONFIG SET requirepass 123
OK

#测试修改后连接
[root@db01 redis]# redis-cli -a 123
127.0.0.1:6379> set age 18
OK

查看redis.conf配置文件

可以看出,配置文件中是没有改变的,只要redis不重启,密码就是新改的。

评论(1)

  1. lx阿望 游客 2020-04-23 11:06 回复

    优秀如斯OωO

热门文章

最新评论

  • jairmir

    花有重开日,人物再少年

  • xzr

    为什么不行啊

  • admin

    打开电脑的 控制面板\网络和 Internet\网络和共享中心 然后点 Internet属性-高级-点重置就可以了

  • ccz

    请问怎么设置啊?

  • 大表哥

    [secret]zabbix怎么监控手机啊Σ(っ °Д °;)っ [/secret]

  • lx阿望

    做个丑八怪,逍遥又自在!

  • admin

    昨晚做了一个梦,林俊杰住我隔壁,王力宏住我对面,陈奕迅也在我隔壁。还真是不想醒来上班啊,7月1日又是新的开始,也要加油工作鸭

  • 了聪

    看到天上的星星没有,我帮你摘!那是你打排位掉的

  • admin

    那是前前人 ::twemoji:sweat::

  • sunday

    那前人不是我呀 ::aru:shy2::

日历

2022年05月

1234567
891011121314
15161718192021
22232425262728
293031    

标签云

友情链接

文章目录

推荐关键字: zabbix python