15、数据库加固-redis 加固

1.禁止网络访问 Redis 服务

更改配置文件,使服务监听本地回环地址

修改 redis 配置文件:vi 安装路径/redis.conf

确保:bind 127.0.0.1(::1:表示 ipv6 回环地址)

2.设置防火墙过滤浏览(与禁止网络访问相对应,两者设置一种即可)

设置 iptables 防火墙,确保访问源安全

允许某源地址访问服务器的 tcp:6379 端口

iptables -A INPUT -s x.x.x.x -p tcp --dport 6379 -j ACCEPT

3.禁用高危命令

在配置文件中,将命令更名为空白或重命名

vi 安装路径/redis.conf
rename-command CONFIG ""
rename-command flushall ""
rename-command flushdb ""
rename-command shutdown shotdown_test #重命名 shutdown

关闭 redis 服务:./redis-cli shutdown
使用配置文件启动 redis 服务:./redis-server /usr/local/reids/redis.conf &(不带配置文件,按默认配置执行,修改配置文件后,不会生效)

4.开启密码验证

在配置文件中设置一个执行口令

vi 安装路径/redis.conf:requirepass password

重启服务

 

命令下(临时生效):

config get requirepass #获取密码

config set requirepass 123.com #设置密码为 123.com(设置后,需要执行 auth 123.com,才能查密码)

5.使用小权限用户运行主程序

创建普通账户,使用普通账户运行程序

useradd -s /sbin/nologin redis #创建普通账户

su -m redis -c /usr/local/redis/src/redis_server /usr/local/redis/redis.conf & #使用普通账户运行

-m:不切换用户 bash 环境

此时情况下不能去文本设置密码,只能命令行设置临时密码(解决:使用能登陆系统的账户运行)

6.备份和恢复数据

备份数据库:bgsave(后台备份)、save(前台备份)

恢复数据库:

  获取安装目录:config get dir

    1)"dir"

    2)"/usr/local/redis/src"

  将备份好的文件放到安装目录,重启服务

备份文件:dump.rdb

 

posted @ 2024-04-13 17:27  落落的学习  阅读(35)  评论(0编辑  收藏  举报