- 1GitEe 使用教程 创建项目仓库并上传项目_gitee怎么创建仓库存放node项目
- 2CADD之分子对接二:简单autodockvina对接流程——redocking_autodock vina分子对接软件
- 3探索CompletableFuture:高效异步编程的利器_competablefuture之批量处理
- 4Liunx环境下的应用系统的安装部署与常用命令_jar包上传到服务器的命令
- 5AI集成工具平台一站式体验,零门槛使用国内外主流大模型_ai模型集成平台
- 6【机器学习】sklearn数据集的使用,数据集的获取和划分
- 7【保姆级教程】Spring Boot单元测试(Controller层的Header处有Token验证的详细示例代码),文末介绍Postman 的基本使用_springboot controller header
- 8微信小程序富文本处理/wxParse微信小程序富文本处理插件使用方法_wxparse下载
- 9【Pandas】深入解析Pandas中的统计汇总函数`astype()`_pandas astype
- 10Python环境配置教程(最新超详细图文版)
redis 公网 安全_redis安全加固方案
赞
踩
一. redis及redis漏洞简介
Redis是美国毕威拓(Pivotal)公司赞助开发的一套开源的使用ANSI C语言编写的,基于内存和键值对存储的数据库系统。Redis默认情况下会开启6379端口,在认证未开启的情况下,可导致任意用户进行未授权访问操作。
Redis安全模型观念:请不要将Redis暴漏在公网之上,因为让不受信任的客户接触Redis是非常危险的。
Redis公开漏洞查询网站:http://cve.mitre.org/
http://cve.scap.org.cn/
Redis相应CVE编号:
二.redis漏洞影响范围
Redis暴漏在公网(即绑定在0.0.0.0:6379,目标IP公网可访问),且没有开启相关认证及设置相应安全策略的情况下,存在被攻击利用的风险。
三.漏洞修复方案
厂商修复方案:暂无
安全社区参考修复方案:
(1)网络加固
如果仅为本地通信,请确保redis监听在本地。具体设置:/etc/redis/redis.conf中配置如下: bind 127.0.0.1
(二)防火墙设置
如果需要其他机器访问,或者设置了Master-Slave模式,需添加防火墙设置,具体参考如下:
/sbin/iptables -A INPUT -s x.x.x.x -p tcp --dport 6379 -j ACCEPT
(三)添加认证
默认情况下,redis未开启密码认证。开启认证模式,具体参考如下配置:
打开 /etc/redis/redis.conf,找到requirepass参数,设置密码,保存redis.conf,最后重启redis服务,/etc/init.d/redis-server restart
(四)设置单独账户
可设置一个单独的redis账户。创建redis账户,通过该账户启动redis服务,具体操作如下:setsid sudo -u redis /usr/bin/redis-serer /etc/redis/redis.conf
(五)重命名重要命令
redis没有权限分离之说,无管理员账号和普通账户之分,导致攻击者登陆后可执行任意操作,因此需要隐藏重要命令,具体如下:FLUSHDB, FLUSHALL, KEYS,PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME,DEBUG, EVAL等。
在redis2.8.1 及 redis3.x(<3.0.2) 版本下存在eval沙箱逃逸漏洞,攻击者可通过该漏洞执行任意Lua代码。
具体缓解攻击操作,供参考:下述配置将config/flushdb/flushall设置为空,即禁用该命令;也可命名一些攻击者难以猜解的名字。
rename-command CONFIG “”
rename-command flushall ""
rename-command flushdb ""
rename-command shutdown shotdown_test
保存后,执行/etc/init.d/redis-server restart重启生效。
参考文章:
http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/
http://antirez.com/news/96
文章归档:http://secscorpio.top/?p=111
