Redis緩存數(shù)據(jù)庫(kù)安全加固指導(dǎo)（二）

背景

在眾多開(kāi)源緩存技術(shù)中，Redis無(wú)疑是目前功能最為強(qiáng)大，應(yīng)用最多的緩存技術(shù)之一，參考2018年國(guó)外數(shù)據(jù)庫(kù)技術(shù)權(quán)威網(wǎng)站DB-Engines關(guān)于key-value數(shù)據(jù)庫(kù)流行度排名，Redis暫列第一位，但是原生Redis版本在安全方面非常薄弱，很多地方不滿足安全要求，如果暴露在公網(wǎng)上，極易受到惡意攻擊，導(dǎo)致數(shù)據(jù)泄露和丟失。

本文主要是在原生開(kāi)源軟件Redis3.0基礎(chǔ)上，系統(tǒng)的在安全特性方面進(jìn)行的增強(qiáng),很多增強(qiáng)點(diǎn)涉及了開(kāi)源代碼的修改，后續(xù)章節(jié)闡述的redis緩存數(shù)據(jù)庫(kù)的安全規(guī)范,?理論上適用于所有應(yīng)用Redis的產(chǎn)品。

本系列共連載三篇，分九個(gè)章節(jié)，本文從敏感數(shù)據(jù)與加密保護(hù)，口令安全，日志審計(jì)三個(gè)章節(jié)闡述了redis緩存數(shù)據(jù)庫(kù)加固措施。

1??????敏感數(shù)據(jù)與加密保護(hù)

1.1??????密碼保存(重要)

安全問(wèn)題：原生Redis服務(wù)端密碼requirepass和masterauth是明文保存到redis.conf。

解決方案:?服務(wù)端密碼采用PBKDF2加密后保存到redis.conf。

考慮到性能問(wèn)題，每次認(rèn)證都用PBKDF2會(huì)比較耗時(shí),經(jīng)過(guò)評(píng)審，采用在首次認(rèn)證成功后，內(nèi)存采用SHA256緩存，后續(xù)的請(qǐng)求優(yōu)先使用SHA256校驗(yàn)。

1.2??????支持秘鑰替換(重要)

安全問(wèn)題：涉及加解密的秘鑰不能寫(xiě)死到代碼中。

解決方案:?秘鑰支持定期替換。

·???redis服務(wù)端redis-server:

配置文件增加配置項(xiàng)：cipher-dir

配置為redis_shared.key和root.key所在的文件夾的全路徑，例如：cipher-dir /opt/redis/etc/cipher

·????redis客戶端：redis-cli

添加參數(shù)-cipherdir，指向redis_shared.key和root.key所在的文件夾的全路徑

例如：redis-cli -h 127.0.0.1 -cipherdir /opt/redis/etc/cipher -a sessionrdb@dbuser@Changeme_123 -p 32091

·????redis客戶端SDK：jedis*.jar

同一個(gè)進(jìn)程內(nèi),Jedis接口為string, dbname@user@pwd，因?yàn)榈谌浇涌?類似Jdbc)，無(wú)法加密。

1.3??????密碼傳輸(重要)

安全問(wèn)題：原生Redis通過(guò)config get命令可能獲取到服務(wù)端敏感信息。

解決方案：禁止將口令等敏感信息傳送到客戶端，因此需要禁掉config get requirepas/masterauth/requireuserpass等功能。

1.4??????密碼修改(重要)

安全問(wèn)題：修改密碼明文傳輸:config set masterauth pwd

解決方案：Redis內(nèi)存保存明文密碼問(wèn)題: masterauth?使用AES128加密，密碼采用AES128保存

2??????口令安全

2.1??????產(chǎn)品缺省啟用數(shù)據(jù)庫(kù)口令復(fù)雜度檢查功能

安全問(wèn)題：Redis修改密碼沒(méi)有復(fù)雜度檢查。

解決方案：提供單獨(dú)的Redis修改工具來(lái)修改密碼，特別注意以下幾點(diǎn)。

1．??進(jìn)行口令復(fù)雜度檢查。

2．??在輸入錯(cuò)誤的用戶名或密碼時(shí)，不能出現(xiàn)類似于“密碼錯(cuò)誤”、“用戶名不存在”之類的過(guò)于明確的原因提示信息，以防止攻擊者用于猜解系統(tǒng)用戶名/口令。

3．??修改密碼要校驗(yàn)舊密碼。

4．??修改數(shù)據(jù)庫(kù)密碼不能和用戶名一樣。

5．??交互式密碼修改時(shí)要隱藏密碼。

6．??在文檔中建議通過(guò)交互式修改密碼。

2.2??????防暴力破解,配置賬戶登錄失敗嘗試次數(shù)

安全問(wèn)題：Redis原生版本存在暴力破解情況。

解決方案：最大失敗次數(shù)：maxauthfailtimes（單位?次，有效范圍(0,10萬(wàn)]，默認(rèn)值1萬(wàn)）

說(shuō)明:?該配置項(xiàng)只支持在啟動(dòng)時(shí)redis.conf配置，不支持動(dòng)態(tài)修改,屏蔽掉對(duì)應(yīng)config set。

不支持設(shè)置為0:表示不鎖定任何IP。

2.3??????配置賬戶鎖定后自動(dòng)解鎖時(shí)間

鑒權(quán)失敗鎖定時(shí)間：authfaillocktime（單位分鐘，有效范圍[0~999]，默認(rèn)值10）

設(shè)置為0時(shí)，表示永久鎖定。

說(shuō)明:?該配置項(xiàng)只支持在啟動(dòng)時(shí)redis.conf配置，不支持動(dòng)態(tài)修改,屏蔽掉對(duì)應(yīng)config set。

2.4??????查看鎖定IP

問(wèn)題：IP鎖定后需要查看被鎖定IP。

解決方案：

只有管理員可以查看已經(jīng)鎖定的IP列表，分隔符為英文冒號(hào)（:）

示例1：config get lockedips

返回：10.67.147.111;10.67.147.112;

示例2：config get lockedips

返回：10.67.147.111;

說(shuō)明：不支持config set lockedips，如果強(qiáng)制執(zhí)行，返回錯(cuò)誤：ERR Unsupported CONFIG parameter: lockedips

2.5??????手工鎖定IP的解除

只有管理員可以執(zhí)行命令解鎖鎖定的IP，只支持解鎖單個(gè)IP或者解鎖全部IP

解決方案：

示例1，解鎖單個(gè)IP：config set unlockips 10.67.147.111

示例2，解鎖所有IP：config set unlockips “all”

說(shuō)明：不支持config get unlockips，如果強(qiáng)制執(zhí)行，返回空，redis-cli提示：(empty list or set)

如果參數(shù)中的IP沒(méi)有出現(xiàn)過(guò)異常，會(huì)返回解鎖失敗，例如：

(error) ERR Invalid argument '10.67.147.111' for CONFIG SET 'unlockips'

執(zhí)行手動(dòng)解鎖，記錄trace，例如：

例如：26 Dec 03:15:19.958 * 10.67.147.113 unlocked by 10.67.147.111:59417日志審計(jì)

2.6??????安全審計(jì)

1.?????????Redis自身支持日志記錄到系統(tǒng)日志,如/var/log/localmessage。但需要通過(guò)在redis.conf進(jìn)行如下配置：

syslog-enabled yes

syslog-ident redis

syslog-facility local0

2.?????????客戶端登錄,記錄客戶端IP,賬號(hào)等信息。

3.?????????相關(guān)維護(hù)操作必須有詳細(xì)的日志記錄。

示例: 29118:S 26 Nov 11:19:29.100 * The readdbuser logged in successfully;10.145.93.119:52817；

2.7??????操作日志轉(zhuǎn)儲(chǔ)

安全問(wèn)題：官方版本Redis日志不會(huì)轉(zhuǎn)儲(chǔ)，長(zhǎng)時(shí)間運(yùn)行可能會(huì)把磁盤(pán)占滿。

解決方案：?jiǎn)为?dú)運(yùn)行tracemonitor進(jìn)程(python版),定期管理Redis日志文件大小,主要是日志壓縮和定期刪除,避免占用過(guò)多磁盤(pán)。

說(shuō)明:目前平臺(tái)默認(rèn)60秒檢測(cè)一次,日志達(dá)到20M壓縮,日志個(gè)數(shù)最大50個(gè)。

目前，華為云DCS Redis有免費(fèi)使用活動(dòng)，小伙伴們可以來(lái)試試：

歡迎掃碼查看更多精彩：

華為云 數(shù)據(jù)庫(kù) 通用安全

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。