【干貨分享】使用Redis的用戶要請往這瞅瞅，小心數據泄漏！

根據華為云安全運維專家介紹，Redis的安全問題日益增多，Redis的漏洞未用戶數據泄漏提供一種流行的渠道，需要各位看官多多了解。

1 Redis安全漏洞：

1、 Redis因配置不當可以未授權訪問，很容易被攻擊者惡意利用。如果Redis以root身份運行，黑客可以給root賬戶寫入SSH公鑰文件，直接通過SSH登錄、控制服務器，引發重要數據泄漏或丟失，嚴重威脅用戶業務和數據安全，風險極高，業界將此漏洞定位為高危漏洞。

2、 當前業界已暴出多起因Redis漏洞導致主機被入侵、業務中斷、數據丟失的安全事件，請用戶務必警惕該漏洞的嚴重危害，防止造成無法挽回的損失。

2?安全加固措施：

Redis安全加固主要從網絡訪問權限、賬戶執行權限兩個方面入手：

2.1? ???網絡訪問權限2.1.1? ???設置防火墻

通過防火墻設置，充許業務ip訪問，限制不必要ip訪問，方法參考如下：

#例如只允許192.168.2.*這一段C類地址訪問，其他IP地址禁止訪問：

iptables -AINPUT -s 192.168.2.0/24,127.0.0.0/16 -p tcp??--dport 6379 -j ACCEPT

iptables -AINPUT??-p tcp??--dport 6379 -j DROP

2.1.2修改redis.conf配置加固

如果用戶僅僅是本地通訊，無需其他IP訪問，則可以通過綁定127.0.0.1，確保redis本地監聽，從而避免業務暴光在互聯網上，方法如下：

修改/etc/redis/redis.conf 中配置，并重啟redis使配置生效：

2.1.3? ??重命名關鍵命令進行加固

由于redis沒有做基本的權限分離，沒有管理賬號、普通賬戶之分，所以登錄之后無操作權限限制，因此需要將一些危險的操作隱藏起來，涉及的命令包括：

FLUSHDB,FLUSHALL, KEYS, PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE,SPOP, SREM, RENAME, DEBUG, EVAL

設置方法如下，編輯/etc/redis/redis.conf文件：

上述配置將config，flushdb，flushall設置為了空，即禁用該命令，保存之后，執行/etc/init.d/redis-serverrestart 重啟生效

2.2? ?賬號執行權限2.2.1? ???低權限賬戶

設置單獨的redis賬戶運行redis，redis crackit漏洞就利用root用戶的特性來重置authorized_keys從而達到控制系統主機的目的，使用普通帳號運行redis可以降低被利用的風險，如下：

創建一個redis賬戶，然后通過該賬戶啟動redis，命令如下：

su - redis-c " /redis/bin/redis-server /redis/etc/redis.conf"

使用進程查看psaux|grep redis-server可見進程以redis運行

redis? ?? ? 3384??0.8??0.1 137440??4168?? ?? ???Ssl??17:43? ?0:00/redis/bin/redis-server 192.168.196.133:6379

2.2.2? ???認證

redis 默認沒有開啟密碼認證，風險極高。手動開啟認證方法：

1、打開/etc/redis/redis.conf配置文件，加入語句：requirepass Z1e4tNzOgk#??將認證密碼設置為了Z1e4tNzOgk#（此密碼為示例，請自行設置其它密碼并妥善保管，務必注意密碼復雜度不要使用含有鍵盤特征的密碼）

2、保存redis.conf，重啟redis（/etc/init.d/redis-server restart）

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。