redis出现安全漏洞,该如何加强安全性

最新推荐文章于 2025-07-08 07:34:02 发布
最新推荐文章于 2025-07-08 07:34:02 发布
阅读量365 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux资讯
原文链接:https://www.linuxprobe.com/security-redis.html
本文探讨了Redis的安全隐患,包括通过主从复制获取Shell的漏洞,以及在4.x版本中新引入的模块功能所带来的风险。文章提供了详细的防御措施,如配置防火墙、更改默认端口、设置强密码、禁用危险命令等,确保Redis在复杂环境中依然稳定可靠。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

导读Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。近期,Redis被爆出存在通过主从复制从而Getshell的漏洞。

redis出现安全漏洞,该如何加强安全性redis出现安全漏洞,该如何加强安全性
在Redis4.x以及以上版本中,因为新增了模块功能,攻击者可以通过构造恶意代码,使被攻击的服务器加载恶意.so文件,如果redis-server以root权限启动,使得恶意代码能够被执行,攻击者就可以在服务器上创建他想创建的任意文件,危害非常的大。

Redis作者的理念是“简洁为美”,所以并没有为Redis设计复杂的安全配置,那么要如何保证Redis的安全呢?

配置防火墙保护redis

​通过配置防火墙防止外部用户访问它的redis端口。

不使用redis的默认端口

防止外部用户访问Redis,指定信任的Redis的IP,防止外部访问,仅有可信的用户IP才能访问Redis端口。如果不禁止的话,当受到来自外部攻击时很有可能所有的数据都将被删除。

设置访问redis时需要密码授权

Redis对于经典网络的实例强制开启密码鉴权,用户可以通过设置复杂的密码避免密码被攻破。需要注意的是,密码的强度要设置足够高,例如32位以上。redis的性能非常好,暴力破解密码的话,每秒钟可以达到15万次。

使用禁用命令

在 Redis 中可以禁用命令或者将它们重命名成难以推测的名称,这样只有内部用户能够这些重命名的名称,而一般的用户只能够使用一部分命令。

对一些危险命令进行重命名,能够防止恶意操作,相当于把命令名称变为密码,只有内部人员知道。

Redis 在优化高性能以及易用性上下功夫,对于安全方面并没有极力去优化。因此redis需要运行在安全的环境下,就要要做好redis外部的安全工作。

原文来自:https://www.linuxprobe.com/security-redis.html

Redis漏洞总结
2301_77498991的博客
04-10 809
主从复制,是指将一台Redis服务器的数据,复制到其他的Redis服务器。前者称为主节点(master),后者称为从节点(slave);数据的复制是单向的,只能由主节点到从节点。Redis的持久化使得机器即使重启数据也不会丢失,因为redis服务器重启后会把硬盘上的文件重新恢复到内存中。但是要保证硬盘文件不被删除,而主从复制则能解决这个问题,主redis的数据和从redis上的数据保持实时同步,当主redis写入数据是就会通过主从复制复制到其它从redis
浅谈Redis漏洞
weixin_43960884的博客
07-20 479
Redis未授权访问漏洞 Redis是一种key-value键值对的非关系型数据库 默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问等,Redis服务将会暴露到公网上,以及在没有设置密码认证的情况下,会导致任意用户在可以访问目标服务器的情况下进行未授权的访问Redis Redis还支持本地存储,也就导致任意文件写入,攻击者在未授权访...
Redis漏洞利用的4种方法
qq_50854662的博客
05-13 4890
Redis简介 redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。区别的是redis会周期性的把更
Redis 突发三大高危漏洞!PoC 已公开,百万服务器面临远程操控风险
最新发布
easylife206的专栏
07-08 1255
漏洞由安全研究员Gabriele Digregorio通过负责任披露流程提交并经Redis开发团队确认,源于认证用户对Redis多批量协议命令的滥用,攻击者在完成认证后,可通过特殊构造的命令协议触发异常行为,导致服务中断,虽未突破Redis“认证用户应被信任”的核心安全假设,但可能影响服务可用性。该漏洞源于Redis的Lua脚本引擎在内存管理方面的问题,经过身份验证的用户可借助特制Lua脚本操纵内存回收机制,通过EVAL和EVALSHA命令运行恶意脚本,进而可能在Redis服务器上执行任意代码。
Redis 漏洞总结
qq_41696518的博客
06-26 3457
其实漏洞的原理无外乎就2点:1. 能连接Redis,这是利用的前提。2. linux一切皆文件,要利用的服务可通过修改文件内容达成。
Redis漏洞大全~讲解最全的漏洞利用方法
weixin_67832625的博客
08-11 2923
Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivota赞助。漏洞原理。
Redis 有哪些常见的安全漏洞和定期检查安全性
alankuo的专栏
10-08 1052
【代码】Redis 有哪些常见的安全漏洞和定期检查安全性
Redis安全性:最佳实践和常见防范策略
哎 你看的博客
06-10 1261
I. 引言 A. 介绍Redis的广泛应用和其在数据存储中的重要性 B. 强调安全性在维护Redis稳定运行中的关键角色 II. Redis安全性的基本概念 A. 解释安全性Redis中的含义 B. 分析不安全的Redis可能带来的风险和问题 III. Redis安全性最佳实践 A. 使用复杂且难以猜测的密码 B. 结合防火墙,限制访问源 C. 及时更新Redis版本,以修复可能存在的安全漏洞 D. 我们应如何备份和恢复Redis数据来防止数据丢失 IV. Redis的常见安全防范策略
一文清晰带你认识redis漏洞
逍遥小哥的博客
02-01 2048
主从模式指使用一个redis作为主机,其他的作为备份机,主机从机数据都是一样的,从机只负责读,主机只负责写。在Reids 4.x之后,通过外部拓展,可以实现在redis中实现一个新的Redis命令,构造恶意.so文件。数据持久化:Redis提供持久化功能,可以将数据保存到磁盘上,以防止数据丢失。Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。
Redis未授权漏洞复现及利用(window,linux)
热门推荐
dreamthe的博客
03-22 2万+
1.了解redis Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivota赞助。 2.redis漏洞原理 Redis默认情况下是绑定在0.0.0.0:6379端口的,如果没有设置密码(一般密码为空)或者密码为弱密码的情况下并且也没有
Redis未授权访问漏洞复现
Armandhe的博客
06-01 1294
redis未授权访问漏洞的复现、利用条件、防御措施、
Redis漏洞汇总
Jietewang的博客
08-11 8420
前言 redis是一个key-value存储系统,拥有很强大的功能,目前的普及率很高,reids默认端口是6379。造成为授权漏洞的原因不是逻辑漏洞(:》),是安全配置未作限制的原因,如果主机非内网主机,且拥有互联网IP那么redis大概率存在未授权漏洞,本人遇到的是这样的。 1.未授权访问漏洞 redis默认情况是空密码连接,如果在root用户下安装的话,这是十分危险的,有多危险呢?大概( )这么危险。 ...
Redis缓存数据库安全加固指导(一)
weixin_30810239的博客
08-21 396
背景 在众多开源缓存技术中,Redis无疑是目前功能最为强大,应用最多的缓存技术之一,参考2018年国外数据库技术权威网站DB-Engines关于key-value数据库流行度排名,Redis暂列第一位,但是原生Redis版本在安全方面非常薄弱,很多地方不满足安全要求,如果暴露在公网上,极易受到恶意攻击,导致数据泄露和丢失。 本文主要是在原生开源软件Redis3.0基础上,系统的在安全特性方面...
Redis系列漏洞总结
NLost
10-21 7096
未授权访问;redis写入webshell;redis写入ssh公钥登录;写入计划任务反弹shell;主从复制rce;什么是主从复制;ssrf+redis写入webshell;Redis Lua 沙盒绕过rce
redis漏洞修复:(CNVD-2019-21763)
大新新大浩浩的博客
09-22 1294
redis漏洞修复:(CNVD-2019-21763) docker形式运行的redis的防火墙规则配置
redis 安全漏洞导致服务器被攻击
Golden_lion的博客
03-01 4020
近日发现redis数据无故被清,恢复后连续几次还是被清,由于经验不足,一直认为是自己配置有误。经过多天查找,才发现2015年11月份爆发了redis安全漏洞攻击事件,一一印证了下,全部中招。 特点: 1.redis缓存被清0;而且每天会执行一次; 2./root/.ssh/ 下多了几个文件。dump.rdb, foo.txt, authorized_keys里多了莫名
Redis存在安全漏洞
曼陀罗的博客
12-20 1214
Redis是美国Redis公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。Redis存在安全漏洞。攻击者利用该漏洞使用特制的Lua脚本触发堆栈缓冲区溢出漏洞,从而远程执行代码。CVE编号:CVE-2024-31449。
Redis 安全漏洞检测攻击机防御
AlexWoo0501的博客
11-26 2514
对近期报告的 Redis 安全漏洞的检测攻击和防御方法进行探讨
SSRF漏洞Redis利用篇
weixin_39664643的博客
01-21 3598
SSRF漏洞Redis利用篇 SSRF–(Server-side Request Forge, 服务端请求伪造) 定义:由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务 SSRF漏洞思维导图如下,本篇主要介绍利用SSRF漏洞攻击内网Redis SSRF攻击内网Redis 当存在SSRF漏洞且内网中Redis服务可以未授权访问时,利用Redis 任意文件写入成为十分常见的利用方式,一般内网中会存在 root 权限运行的 Redis 服务,利用 Gopher 协议可以攻击内网
Redis 6.2.3 for Windows修复安全性漏洞
- STRALGO LCS 命令中的整数溢出(CVE-2021-29477):这是一个安全漏洞,存在于从 Redis 6.0 版本开始的所有版本中,允许通过 STRALGO LCS 命令破坏堆,可能被远程利用来执行代码。修复措施在于对命令执行逻辑进行了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值