Redis缓存数据库安全加固指导(二)

背景

在众多开源缓存技术中,Redis无疑是目前功能最为强大,应用最多的缓存技术之一,参考2018年国外数据库技术权威网站DB-Engines关于key-value数据库流行度排名,Redis暂列第一位,但是原生Redis版本在安全方面非常薄弱,很多地方不满足安全要求,如果暴露在公网上,极易受到恶意攻击,导致数据泄露和丢失。

本文主要是在原生开源软件Redis3.0基础上,系统的在安全特性方面进行的增强,很多增强点涉及了开源代码的修改,后续章节阐述的Redis缓存数据库的安全规范, 理论上适用于所有应用Redis的产品。

本系列共连载三篇,分九个章节,本文从敏感数据与加密保护,口令安全,日志审计三个章节阐述了Redis缓存数据库加固措施

 

敏感数据与加密保护

1.密码保存(重要)

安全问题:原生Redis服务端密码requirepass和masterauth是明文保存到redis.conf。

解决方案: 服务端密码采用PBKDF2加密后保存到redis.conf。

考虑到性能问题,每次认证都用PBKDF2会比较耗时,经过评审,采用在首次认证成功后,内存采用SHA256缓存,后续的请求优先使用SHA256校验。

 

2.支持秘钥替换(重要)

安全问题:涉及加解密的秘钥不能写死到代码中。

解决方案: 秘钥支持定期替换。

➤redis服务端redis-server:

配置文件增加配置项:cipher-dir

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值