91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Redis服務安全加固的說明

發布時間:2020-08-05 08:16:26 來源:網絡 閱讀:248 作者:mdadmmeng 欄目:系統運維
Redis(全稱:Remote Dictionary Server 遠程字典服務)是一個開源的使用ANSI C語言編寫、支持網絡、可基于內存亦可持久化的日志型、Key-Value數據庫,并提供多種語言的API。

漏洞描述

Redis 因配置不當存在未授權訪問漏洞,可以被***者惡意利用。

在特定條件下,如果 Redis 以 root 身份運行,***可以給 root 賬號寫入 SSH 公鑰文件,直接通過 SSH 登錄受害服務器,從而獲取服務器權限和數據。一旦***成功,***者可直接添加賬號用于 SSH 遠程登錄控制服務器,給用戶的 Redis 運行環境以及?Linux?主機帶來安全風險,如刪除、泄露或加密重要數據,引發勒索事件等。

受影響范圍

在 Redis 客戶端,測試Redis是否設置密碼:

root@kali:~#?redis-cli?-h?10.16.10.2
redis?10.16.10.2:6379>?keys?*
1)?"1"`

從登錄結果可以看出,該 Redis 服務對公網開放,且未啟用認證。

修復方案

禁止監聽在公網

指定 Redis 服務使用的網卡

默認情況下,Redis 監聽 127.0.0.1。如果僅僅是本地通信,請確保監聽在本地。

這種方式可以在一定程度上緩解 Redis 未授權訪問的風險(例外情況下,如果 Redis 以 root 用戶運行,***者借助已有的 webshell,就可以利用該 Redis 來反彈 shell 以實現提權)。

在redis.conf文件中找到 # bind 127.0.0.1,將前面的 # 去掉,然后保存。

該操作需要重啟Redis 才能生效。

修改后只有本機才能訪問 Redis,也可以指定訪問源 IP 來訪問 Redis。

bind?192.168.1.100?10.0.0.1

修改默認6379端口

port?6377

編輯文件redis的配置文件redis.conf,找到包含port的行,將默認的6379修改為自定義的端口號,重啟`redis生效`

設置防火墻策略

如果正常業務中 Redis 服務需要被其他服務器來訪問,可以通過 iptables 策略,僅允許指定的 IP 來訪問 Redis 服務。

iptables?-A?INPUT?-s?x.x.x.x?-p?tcp?--dport?6379?-j?ACCEPT

賬號與認證

設置訪問密碼:在 redis.conf中找到 requirepass字段,去掉其注釋,并在后面填上需要的密碼。Redis 客戶端也需要使用此密碼來訪問 Redis 服務。

打開 /etc/redis/redis.conf配置文件:

requirepass?www.dgstack.cn12332@@#$%@!%

確保密碼的復雜度,配置完畢后重啟服務即可生效。

服務運行權限最小化

使用root切換到redis用戶啟動服務:

useradd?-s?/sbin/nolog?-M?redis?
sudo?-u?redis?//redis-server?//redis.conf

注意:該操作需要重啟 Redis 才能生效。

禁用或者重命名危險命令

隱藏重要命令:Redis 無權限分離,其管理員賬號和普通賬號無明顯區分。***者登錄后可執行任意操作,因此需要隱藏以下重要命令:FLUSHDB, FLUSHALL, KEYS,PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME,DEBUG, 。

另外,在 Redis 2.8.1 及 Redis 3.x (低于 3.0.2) 版本下存在 沙箱逃逸漏洞,***者可通過該漏洞執行任意 Lua 代碼。

下述配置將 config/flushdb/flushall 設置為空,即禁用該命令;也可設置為一些復雜的、難以猜測的名字。

rename-command?FLUSHALL?""
rename-command?FLUSHDB??""
rename-command?CONFIG???""
rename-command?KEYS?????""
rename-command?SHUTDOWN?""
rename-command?DEL?""
rename-command??""

然后重啟redis。

重命名為"" 代表禁用命令,如想保留命令,可以重命名為不可猜測的字符串,如:

rename-command?FLUSHALL?joYAPNXRPmcarcR4ZDgC

打開保護模式

redis默認開啟保護模式。要是配置里沒有指定bind和密碼,開啟該參數后,redis只能本地訪問,拒絕外部訪問。

redis.conf安全設置:?#?打開保護模式?protected-mode?yes

安全補丁

定期關注最新軟件版本,并及時升級 Redis 到最新版,防止新漏洞被惡意利用。

排查病毒思路(挖礦病毒)

Redis服務安全加固的說明


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

揭东县| 兰考县| 台中市| 祥云县| 合作市| 南京市| 紫云| 邯郸市| 崇仁县| 醴陵市| 金阳县| 延安市| 苍溪县| 马尔康县| 南川市| 株洲县| 长宁区| 台中县| 武隆县| 浑源县| 泸水县| 沛县| 黄平县| 新郑市| 安塞县| 伊金霍洛旗| 新化县| 裕民县| 扎鲁特旗| 云梦县| 邵阳市| SHOW| 哈尔滨市| 福州市| 安吉县| 永川市| 雷波县| 紫金县| 会昌县| 郧西县| 建平县|