Redisの(フルネーム:リモート辞書サーバーのリモート辞書サービス)は、メモリの持続性に基づいて、ANSI C、サポートネットワークで書かれたオープンソースの使用は、タイプ、キーと値のデータベースをログに記録し、多言語のAPIを提供することができます。 |
脆弱性の説明
間違って設定Redisの***ができ、不正アクセスの脆弱性、悪質な利用があります。
Redisのは、rootとして実行する場合、一定の条件の下では、あなたは、rootアカウント*** SSH公開鍵ファイルに書き込むことができ、利得許可とサーバーのデータに順に、SSHの被害者を経由してサーバに直接ログインします。成功したら*** ***直接添加することができるユーザの環境やRedisのは、実行中にSSHリモートログイン制御サーバーを占め 、Linuxの 恐喝イベントを引き起こし、そのような削除、または暗号化の重要なデータの漏洩などのホストのセキュリティリスクを、。
患部
RedisのパスワードかどうかをテストするRedisのクライアントで:
ルート@カーリー:〜#のRedis-CLI -h 10.16.10.2 10.16.10.2:6379>キーのRedis * 1) "1" `
ログイン結果からわかるように、一般に公開Redisのサービスは、認証を有効にしません。
リハビリテーションプログラム
パブリックリスニング禁止
使用Redisのサービスのために指定されたNIC
デフォルトでは、Redisのは、127.0.0.1を監視します。唯一のローカル通信した場合、ローカルで監視するようにしてください。
Redisのは、rootとして実行する場合、あなたは(例外的な状況の下で、ある程度の不正アクセスのRedisのリスクを軽減することができますこの方法では、***既存のWebに頼っシェル、あなたは集会の権利を言及するのRedisを達成するためにシェルを使用することができます)。
#バインド127.0.0.1を削除#の前に、redis.confファイルで見つかった、その後、保存します。
この操作を有効にするには再起動する必要があるとのRedis。
アクセスのみのRedisにマシンを変更した後、あなたはまた、アクセス元IPアクセスのRedisを指定することができます。
バインド192.168.1.100 10.0.0.1
デフォルトのポート6379を変更します。
ポート6377
ファイルを編集しRedisのプロフィールredis.conf、 ``のRedisを有効にするには、カスタムの再起動を変更するためのポートを含む行は、デフォルトのポート番号6379を見つけます
ファイアウォールポリシーを設定します
通常のビジネスRedisのサービスがアクセス他のサーバーにする必要がある場合、缶は、特定のIPアクセスRedisのサービスを許可するポリシーをiptablesの。
iptablesの-AのINPUT -s XXXX -p TCP --dport 6379 -j ACCEPT
アカウントと認定
設定されたアクセスパスワード:requirepassフィールドに検索redis.conf、そのコメントを削除し、背中を埋めるために必要なパスワード。Redisのクライアントは、Redisのサービスにアクセスするには、このパスワードを使用する必要があります。
オープン/etc/redis/redis.confプロフィール:
requirepass www.dgstack.cn12332 @@#$%@!%
有効にするには、再起動後にサービスを、パスワードの複雑性、コンフィギュレーションを確認してください。
アクセス権は、サービスの実行を最小限に抑えます
Redisのユーザーに使用ルートスイッチは、サービスを開始します。
useraddの-s / sbinに/ nologを-MのRedis sudoの-uのRedis // Redisのサーバー//redis.conf
注:この操作は有効Redisのを取るために再起動が必要です。
無効化または危険な名前の変更コマンドを
隠された重要なコマンド:明白な区別なし特権分離、その管理者アカウントと一般会計をRedisのはありません。***任意の操作でログイン実行した後、次の重要なコマンド非表示にする必要がある:FLUSHDB、FLUSHALL、KEYS、PEXPIRE 、DEL、CONFIG、SHUTDOWN、BGREWRITEAOF、BGSAVE、SAVE、SPOP、SREM、RENAME、DEBUGを,.
さらに、(下記3.0.2)及びサンドボックスエスケープ脆弱性のRedisの2.8.1 Redisの3.xのバージョンの存在が*** Luaのコードがこの脆弱性により、任意に実行することができます。
以下の構成設定/ flushdb / flushall空集合、すなわち、無効化コマンドは、また、名前を推測することは困難で、複合体として提供されてもよいです。
名前の変更 - コマンドFLUSHALL「」 名前の変更コマンドFLUSHDB「」 名前の変更コマンドCONFIG「」 名前の変更 - コマンドKEYS「」 名前の変更 - コマンドSHUTDOWN「」 名前の変更コマンドDEL「」 名前の変更コマンド「」
そして、Redisのを再起動します。
名前の変更は、「」あなたはコマンドを保持したい場合は、あなたのような、予測不可能な文字列の名前を変更することができ、disableコマンドを表します。
名前の変更コマンドFLUSHALL joYAPNXRPmcarcR4ZDgC
オープン保護モード
Redisの保護モードはデフォルトで有効になっています。設定はバインドとパスワードで指定されていない場合は、パラメータをオンにした後、外部からのアクセスを拒否しただけのローカルアクセスを、Redisの。
redis.confのセキュリティ設定:#有効にプロテクトモードプロテクトモードはい
セキュリティパッチ
最新のソフトウェアバージョン、および最新のバージョンにアップグレードするにはRedisの時間に定期的な注意、悪質な使用を防止するための新しい脆弱性。
アイデアの調査ウイルス(ウイルスマイニング)