Redis-安全加固
01
—
使用普通用户启动
当以管理员权限运行,黑客可能通过控制数据库进程执行非法操作,创建一个普通权限用户,并使用该用户启动redis
02
—
设置登录密码
1、打开 redis.conf 配置文件,找到 requirepass,然后修改配置如下:requirepass yourpassword ,其中 yourpassword 即 redis 验证密码,设置密码后即可登录,但无法执行命令。
2、重启 redis,使用授权命令进行授权:auth youpassword ,进行以上操作后即不报错。
3. 设置的密码应符合密码复杂度要求,即采用由数字、大写字母、小写字母、特殊字符中至少三种组合而成的长度为 8 位字符以上口令。
登录时可用:redis-cli –h yourIp –p yourPort –a youPassword
03
—
限制网络访问
打开 redis.conf 配置文件,本机使用时,把 # bind 127.0.0.1 前面的注释#号去掉,非本机使用把 127.0.0.1修改成被允许访问 Redis 服务器的 IP 地址。
04
—
修改默认端口
修改redis.conf文件 Port 16379(端口自定),修改后重启redis服务。
05
—
配置文件安全
找到redis.conf文件所在,检查redis.conf权限是否为644
06
—
重命名或禁用重要命令
此处列举一些重要命令,可根据实际情况进行禁用或重命名:FLUSHDB, FLUSHALL, KEYS, PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME, DEBUG, EVAL保存之后,重启生效。
禁用命令示例:
rename-command CONFIG ""
rename-command flushall ""
rename-command flushdb ""
重命名命令示例:
按照 rename-command [command] “[new_command]” 格式,
例如:rename-command shutdown shutdown_7777
07
—
补丁更新
关注相关漏洞信息,及时进行补丁更新,修复已知漏洞。