Redis-安全加固

01

—

 

使用普通用户启动

 

当以管理员权限运行，黑客可能通过控制数据库进程执行非法操作，创建一个普通权限用户，并使用该用户启动redis

 

 

02

—

 

设置登录密码

 

1、打开 redis.conf 配置文件，找到 requirepass，然后修改配置如下：requirepass yourpassword ，其中 yourpassword 即 redis 验证密码，设置密码后即可登录，但无法执行命令。

2、重启 redis，使用授权命令进行授权：auth youpassword ，进行以上操作后即不报错。

3. 设置的密码应符合密码复杂度要求，即采用由数字、大写字母、小写字母、特殊字符中至少三种组合而成的长度为 8 位字符以上口令。

登录时可用：redis-cli –h yourIp –p yourPort –a youPassword

 

03

—

 

限制网络访问

 

打开 redis.conf 配置文件，本机使用时，把 # bind 127.0.0.1 前面的注释#号去掉，非本机使用把 127.0.0.1修改成被允许访问 Redis 服务器的 IP 地址。

 

04

—

 

修改默认端口

 

修改redis.conf文件  Port 16379（端口自定），修改后重启redis服务。

 

05

—

 

配置文件安全

 

 找到redis.conf文件所在，检查redis.conf权限是否为644

 

06

—

 

重命名或禁用重要命令

 

此处列举一些重要命令，可根据实际情况进行禁用或重命名：FLUSHDB, FLUSHALL, KEYS, PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME, DEBUG, EVAL保存之后，重启生效。

 

禁用命令示例：

rename-command CONFIG ""

rename-command flushall ""

rename-command flushdb ""

 

重命名命令示例：

按照 rename-command [command] “[new_command]” 格式，

例如：rename-command shutdown shutdown_7777

 

 

07

—

 

补丁更新

 

关注相关漏洞信息，及时进行补丁更新，修复已知漏洞。