0x00 前言运维不是维护好服务就好,更应该注意安全。
0x01 限制内网访问,或者只限制本机访问
只监听内网的IP,然后在iptables里面限制访问的主机:
在/etc/redis/redis.conf中配置如下:
bind 192.168.12.100
如果服务只需要本机访问就直接监听127.0.0.1的回环地址就可以了。
0x02 设置防火墙
如果需要其他机器访问,或者设置了slave模式,那就记得加上相应的防火墙设置,命令如下:
iptables -A INPUT -s 192.168.12.10/32 -p tcp --dport 6379 -j ACCEPT
0x03 禁止root用户启动redis使用root权限去运行网络服务是比较有风险的(nginx和apache都是有独立的work用户,而redis没有)。edis crackit 漏洞就是利用root用户的权限来替换或者增加authorized_keys,来获取root登录权限的。
useradd -s /sbin/nolog -M redis
setsid sudo -u redis /usr/bin/redis-server /etc/redis/redis.conf # 使用root切换到redis用户启动服务
0x04 限制redis文件目录访问权限设置redis的主目录权限为700,如果redis配置文件独立于redis主目录,权限修过为600,因为redis密码明文存储在配置文件中。
0x05 避免使用熟知的端口,降低被初级扫描的风险在/etc/redis/redis.conf中配置如下:
找到port 6379这行,把6379改为9999,记得iptables对应的端口要修改
0x06 开启redis密码认证,并设置高复杂度密码redis在redis.conf配置文件中,设置配置项requirepass, 开户密码认证。
redis因查询效率高,auth这种命令每秒能处理10w次以上,简单的redis的密码极容易为攻击者暴破。
0x07 禁用或者重命名危险命令edis crackit漏洞就利用config/save两个命令完成攻击 。 因redis无用户权限限制,建议危险的命令,使用rename配置项进行禁用或重命名,这样外部不了解重命名规则攻击者,就不能执行这类命令。涉及到的命令:
FLUSHDB, FLUSHALL, KEYS, PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME, DEBUG, EVAL`
以下示例:redis.config文件禁用FLUSHDB、FLUSHALL两个命令;重命名CONFIG、SHUTDOWN命令,添加一个特殊的后缀。 这样redis启动后,只能运行CONFIG_b9fc8327c4dee7命令,不能执行CONFIG命令。
rename-command CONFIG CONFIG_des327c4dee7dfsf
rename-command SHUTDOWN SHUTDOWN_des327c4dee7dfsf
rename-command FLUSHDB ""
rename-command FLUSHALL ""
上述配置将config,flushdb,flushall设置为了空,即禁用该命令,我们也可以命名为一些攻击者难以猜测,我们自己却容易记住的的名字。保存之后,执行/etc/init.d/redis-server restart 重启生效。
