Redis 未授权访问漏洞,Redis设置认证密码

加固建议

防止这个漏洞需要修复以下三处问题 第一: 修改redis绑定的IP 如果只在本机使用redis服务那么只要绑定127.0.0.1 如果其他主机需要访问redis服务那么只绑定客户主机所在网络的接口 最好不要绑定0.0.0.0 另外需要通过主机内置的防火墙如iptables,或者其他外置防火墙禁止非业务主机访问redis服务 第二: 设置访问密码 在 redis.conf 中找到“requirepass”字段,取消注释并在后面填上你需要的密码。 注:修改redis的配置需要重启redis才能生效。 第三: 使用普通用户启动redis,并且禁止该用户启动shell,禁止使用root用户启动redis。

漏洞描述

redis端口对外开放并且没有配置认证选项,并且以root权限运行,未授权用户可直接覆盖/root/.ssh/authorized_keys 上传公钥直接用root账号登陆ssh服务器。

漏洞修复解决:redis 设置认证密码

为redis设置密码:设置客户端连接后进行任何其他指定前需要实用的密码。警告:因为redis速度非常快,所以在一台较好的服务器下,一个外部用户可以在一秒钟进行150k次的密码尝试,这意味着你需要指定非常非常强大的密码来防止暴力破解。

方法一:

修改密码的方法:

1、只需要在redis的配置文件redis.conf中开启requirepass就可以了。

cd /home/hgaop/test/redis-2.8.19/

vim redis.conf --找到下面这行,把注释去掉,requirepass后面填写需要修改的密码

requirepass mypassword

 

2、重启redis

ps -ef |grep redis --查看redis进程

kill -9 13224 --杀死redis进程

ps -ef |grep redis --确认杀死

./redis-server ../redis.conf --重启redis,指定配置文件

ps -ef |grep redis

root 9309 1 0 15:22 ? 00:00:00 ./redis-server *:6379

root 9727 8627 0 15:28 pts/1 00:00:00 grep redis

/redis-cli -h 127.0.0.1 -p 6379 --不用密码登录测试

127.0.0.1:6379> keys *

(error) NOAUTH Authentication required. --拒绝操作

./redis-cli -h 127.0.0.1 -p 6379 -a aop_redis@68 --加-a用密码登录

127.0.0.1:6379> select 1

OK --修复成功

 

 

方法二:

redis安装过后默认是没有密码的,可以通过配置文件来设置密码。设置密码过后客户端连接服务端就需要密码验证,安全性提高。

可以通过以下命令查看是否设置了密码:

上图返回结果表示密码为空,可以通过以下命令来修改改参数:

设置密码后,需要验证正确密码才能使用客户端,否则会报“ERR operation not permitted”错,无法执行命令。

通过auth命令验证密码。基本语法:

127.0.0.1:6379> AUTH password

实例:

OK,密码设置验证成功。

 

你可能感兴趣的:(redis)