Redis 基本安全规范文档

温馨提示：我在一家手游的公司工作，因为经常用到redis，特为此整理文档（借鉴过大神的文章）：

一.什么是redis（出自百度百科）？

　　redis是一个key-value存储系统。和Memcached类似，它支持存储的value类型相对更多，包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash（哈希类型）。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作，而且这些操作都是原子性的。在此基础上，redis支持各种不同方式的排序。与memcached一样，为了保证效率，数据都是缓存在内存中。区别的是redis会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件，并且在此基础上实现了master-slave(主从)同步。

　　Redis 是一个高性能的key-value数据库。 redis的出现，很大程度补偿了memcached这类key/value存储的不足，在部 分场合可以对关系数据库起到很好的补充作用。它提供了Java，C/C++，C#，PHP，JavaScript，Perl，Object-C，Python，Ruby，Erlang等客户端，使用很方便。

　　Redis支持主从同步。数据可以从主服务器向任意数量的从服务器上同步，从服务器可以是关联其他从服务器的主服务器。这使得Redis可执行单层树复制。存盘可以有意无意的对数据进行写操作。由于完全实现了发布/订阅机制，使得从数据库在任何地方同步树时，可订阅一个频道并接收主服务器完整的消息发布记录。同步对读取操作的可扩展性和数据冗余很有帮助。

　　redis的官网地址，非常好记，是redis.io。（特意查了一下，域名后缀io属于国家域名，是british Indian Ocean territory，即英属印度洋领地）

目前，Vmware在资助着redis项目的开发和维护

 

二.redis基本安全的文档：

1.信任的内网运行，绑定Redis监听的网络接口。

　　bind 192.168.1.100 10.0.0.1 172.16.0.1

2.禁止root用户启动redis

　　useradd -M -s /sbin/nologin [username]

3.限制redis文件目录访问权限

　　chmod 700 /var/lib/redis   #假设这是你redis目录

　　chmod 600 /etc/redis/redis.conf  #假设这是你redis配置文件

4.避免使用默认端口

5.开启Redis密码认证，并设置高复杂度密码（需要重启redis才能生效）

　　vim /etc/redis/redis.conf  

　　requirepass ed4c39b015b0e46f079775474dbfd0a9a4ab278f63340a6d640999f25c68a932fef815

6.服务精细化授权

　　# 禁用或重命名危险命令（FLUSHDB, FLUSHALL, KEYS,PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, 　　　　　　　　　　　　SPOP, SREM, RENAME,DEBUG, EVAL等）

　　rename-command CONFIG CONFIG_b9fc8327c4dee7

　　rename-command SHUTDOWN SHUTDOWN_b9fc8327c4dee7

　　rename-command FLUSHDB ""

　　rename-command FLUSHALL ""# 重启生效

7.防火墙屏蔽Redis端口

　　iptables -A INPUT -p tcp --dport 6379 -j DROP

8.禁止在Redis中存储敏感的明文数据

9.数据加密传输

　　spiped

　　　　建议参考：http://www.tarsnap.com/spiped.html

10.安全监控

11.Redis Cluster（同步）不支持密码问题 - 可忽略

12.Redis3.2.0的保护模式

　　如果Redis在启动时，未开启bind和密码设置功能，只能通过回环地址本地访问

13.定期更新

14.参考资料：

　　Redis Security

　　　　https://redis.io/topics/security

　　Redis CVE

　　　　https://www.cvedetails.com/vulnerability-list/vendor_id-15183/product_id-31837/year-2016/Pivotal-Software-Redis.html

　　Vulnerability Spotlight: Redis CONFIG SET client-output-buffer-limit Code Execution Vulnerability

　　　　http://blog.talosintelligence.com/2016/09/redis-vulnerability.html

　　Redis未授权访问漏洞

　　　　https://help.aliyun.com/knowledge_detail/37447.html

　　Redis CSRF 漏洞

　　　　https://yq.aliyun.com/articles/69183?spm=5176.8246799.0.0.rjoQtW

　　Redis CSRF 漏洞 POC

　　　　https://github.com/dxa4481/Damn-Vulnerable-Redis-Container

　　Redis EVAL Lua Sandbox Escape

　　　　http://benmmurphy.github.io/blog/2015/06/04/redis-eval-lua-sandbox-escape/