15、数据库加固-redis 加固

1.禁止网络访问 Redis 服务

更改配置文件，使服务监听本地回环地址

修改 redis 配置文件：vi 安装路径/redis.conf

确保：bind 127.0.0.1（::1：表示 ipv6 回环地址）

2.设置防火墙过滤浏览（与禁止网络访问相对应，两者设置一种即可）

设置 iptables 防火墙，确保访问源安全

允许某源地址访问服务器的 tcp:6379 端口

iptables -A INPUT -s x.x.x.x -p tcp --dport 6379 -j ACCEPT

3.禁用高危命令

在配置文件中，将命令更名为空白或重命名

vi 安装路径/redis.conf
rename-command CONFIG ""
rename-command flushall ""
rename-command flushdb ""
rename-command shutdown shotdown_test #重命名 shutdown

关闭 redis 服务：./redis-cli shutdown
使用配置文件启动 redis 服务：./redis-server /usr/local/reids/redis.conf &（不带配置文件，按默认配置执行，修改配置文件后，不会生效）

4.开启密码验证

在配置文件中设置一个执行口令

vi 安装路径/redis.conf：requirepass password

重启服务

 

命令下（临时生效）：

config get requirepass #获取密码

config set requirepass 123.com #设置密码为 123.com（设置后，需要执行 auth 123.com，才能查密码）

5.使用小权限用户运行主程序

创建普通账户，使用普通账户运行程序

useradd -s /sbin/nologin redis #创建普通账户

su -m redis -c /usr/local/redis/src/redis_server /usr/local/redis/redis.conf & #使用普通账户运行

-m：不切换用户 bash 环境

此时情况下不能去文本设置密码，只能命令行设置临时密码（解决：使用能登陆系统的账户运行）

6.备份和恢复数据

备份数据库：bgsave（后台备份）、save（前台备份）

恢复数据库：

　　获取安装目录：config get dir

　　　　1）"dir"

　　　　2）"/usr/local/redis/src"

　　将备份好的文件放到安装目录，重启服务

备份文件：dump.rdb