15、数据库加固-redis 加固
1.禁止网络访问 Redis 服务
更改配置文件,使服务监听本地回环地址
修改 redis 配置文件:vi 安装路径/redis.conf
确保:bind 127.0.0.1(::1:表示 ipv6 回环地址)
2.设置防火墙过滤浏览(与禁止网络访问相对应,两者设置一种即可)
设置 iptables 防火墙,确保访问源安全
允许某源地址访问服务器的 tcp:6379 端口
iptables -A INPUT -s x.x.x.x -p tcp --dport 6379 -j ACCEPT
3.禁用高危命令
在配置文件中,将命令更名为空白或重命名
vi 安装路径/redis.conf rename-command CONFIG "" rename-command flushall "" rename-command flushdb "" rename-command shutdown shotdown_test #重命名 shutdown 关闭 redis 服务:./redis-cli shutdown
使用配置文件启动 redis 服务:./redis-server /usr/local/reids/redis.conf &(不带配置文件,按默认配置执行,修改配置文件后,不会生效)
4.开启密码验证
在配置文件中设置一个执行口令
vi 安装路径/redis.conf:requirepass password
重启服务
命令下(临时生效):
config get requirepass #获取密码
config set requirepass 123.com #设置密码为 123.com(设置后,需要执行 auth 123.com,才能查密码)
5.使用小权限用户运行主程序
创建普通账户,使用普通账户运行程序
useradd -s /sbin/nologin redis #创建普通账户
su -m redis -c /usr/local/redis/src/redis_server /usr/local/redis/redis.conf & #使用普通账户运行
-m:不切换用户 bash 环境
此时情况下不能去文本设置密码,只能命令行设置临时密码(解决:使用能登陆系统的账户运行)
6.备份和恢复数据
备份数据库:bgsave(后台备份)、save(前台备份)
恢复数据库:
获取安装目录:config get dir
1)"dir"
2)"/usr/local/redis/src"
将备份好的文件放到安装目录,重启服务
备份文件:dump.rdb