关于redis的配置安全问题。

借助redis内置命令，可以对现有数据进行恶意清空
如果Redis以root身份运行，可往服务器上写入SSH公钥文件，直接登录服务器

 

如果redis启动监听外网端口，且未配置安全密码访问；
当redis以root用户身份运行时，就可以借助链接到redis，通过redis内置命令修改 dir 和 dbfilename
从而可往服务器的任何位置写入任何内容的文件，当然/root/.ssh/authorized_keys文件也是可以直接写入的。

 

 

建议修复方案（需要重启redis才能生效）

1、设置访问密码
在 redis.conf 中找到“requirepass”字段，在后面填上你需要的密码

2、修改redis服务运行账号
请以较低权限账号运行redis服务，且禁用该账号的登录权限