Redis安全部署规范与安全基线

已于 2025-01-03 14:31:14 修改
阅读量244 收藏 4
点赞数 3
分类专栏: 安全基线 数据库 信息安全 文章标签: redis 数据库 安全
于 2024-12-17 10:47:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_55159054/article/details/144527749
版权

一、安装redis

1、下载Redis安装包

wget http://download.redis.io/releases/redis-7.4.1.tar.gz

2、解压

tar -zxvf  redis-7.4.1.tar.gz

3、yum安装gcc依赖

yum install gcc

4、编译安装

#跳转到redis解压目录下
cd redis-7.4.1
 
#编译安装
make MALLOC=libc
 
#将/usr/local/redis-7.4.1/src目录下的文件加到/usr/local/bin目录
cd src
make install

二、启动redis

1、以后台进程方式启动redis

1)修改redis.conf文件
daemonize no修改为daemonize yes
2)指定redis.conf文件启动

[root@aewraeJKD src]# ./redis-server /usr/local/redis-7.4.1/redis.conf

3)关闭redis进程
首先使用ps -aux | grep redis查看redis进程

[root@aewraeJKD src]# ps -aux | grep redis
root     19384  0.0  0.1 141752  2008 ?        Ssl  14:17   0:00 ./redis-server 127.0.0.1:6379
root     19389  0.0  0.0 112644   968 pts/0    R+   14:19   0:00 grep --color=auto redis

使用kill命令杀死进程

[root@aewraeJKD src]# kill 19384

2、设置redis开机自启动

1)在/etc目录下新建redis目录

mkdir -p /etc/redis

2)将/usr/local/redis-7.4.1/redis.conf 文件复制一份到/etc/redis目录下,并命名为6379.conf

cp /usr/local/redis-7.4.1/redis.conf /etc/redis/6379.conf

3)将redis的启动脚本复制一份放到/etc/init.d目录下

cp /usr/local/redis-7.4.1/utils/redis_init_script /etc/init.d/redisd

4)编辑redisd文件
编辑redisd文件,在第一行加入如下两行注释,保存退出

# chkconfig:   2345 90 10
# description:  Redis is a persistent key-value database

注释的意思是,redis服务必须在运行级2,3,4,5下被启动或关闭,启动的优先级是90,关闭的优先级是10。
5)设置redis开机自启动
先切换到/etc/init.d目录下,然后执行自启命令

chkconfig redisd on

启动操作

service redisd start

关闭操作
方法1:service redisd stop

方法2:redis-cli SHUTDOWN

二、安全配置

1. 专职低权限用户启动redis

. 创建专门的redis用户和组来运行redis

2. 限制redis配置文件的访问权限

. redis配置文件 redis.conf 的权限不高于600

3. 更改默认端口

修改redis.conf文件 Port 16379(端口自定),修改后重启redis服务

redis端口

4. 开启redis密码认证,设置强口令

redis.conf配置文件中,使用requirepass开启密码认证

1、打开 redis.conf 配置文件,找到 requirepass,然后修改配置如下:requirepass yourpassword ,其中 yourpassword 即 redis 验证密码,设置密码后即可登录,但无法执行命令。

2、重启 redis,使用授权命令进行授权:auth youpassword ,进行以上操作后即不报错。

3.、设置的密码应符合密码复杂度要求,即采用由数字、大写字母、小写字母、特殊字符中至少三种组合而成的长度为 8 位字符以上口令。

5. 禁用或者重命名危险命令

应当禁用或重命名以下命令

	# redis.conf
rename-command FLUSHALL "" 
rename-command FLUSHDB ""  
rename-command CONFIG ""
rename-command KEYS ""
rename-command SHUTDOWN "" rename-command DEL ""
rename-command EVAL ""

此处列举一些重要命令,可根据实际情况进行禁用或重命名:FLUSHDB, FLUSHALL, KEYS, PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME, DEBUG, EVAL保存之后,重启生效。

6. 禁止监听在公网IP

. 禁止redis监听在 0.0.0.0 或公网IP

1  # redis.conf
2  bind 127.0.0.1 
3  # OR
4  bind <内网IP>

7. 开启保护模式

开启保护模式后,若没有指定bind和密码,则只能本地访问redis

1  # redis.conf
2  protected-mode yes
如何进行数据安全风险评估总结
cdfunlove的博客
04-09 131
以信贷业务中授信申请流程的数据存储面临数据泄露风险为例,通过前面的流程梳理,可以看到在身份认证、证件上传、实名认证、活体识别及后续的信息采集这几个环节都涉及到数据的存储,并且可能由不同的系统进行处理,可能数据存储在多个位置,每个环节控制措施做得不到位,都可能造成数据泄露,因此这多个数据存储位置都要进行同等程度的保护,降低数据泄露的风险。数据治理是一个非常复杂的过程,包括了对数据的整个生命周期的管理,覆盖了业务经营、风险管理和内部控制流程中的全部数据,覆盖内部数据和外部数据,监管数据等等。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 2607
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
安全基线检查表
11-16
包含:路由器、交换机、防火墙、ESXI、F5、IIS7、Linux、Oracle、solaris、sqlserver、windows基线检查
Linux:阿里云 ECS Redis 安全设置
木头
10-27 848
博客地址:http://www.lsk-ww.cn:8080添加链接描述 1、打开保护模式 redis默认开启保护模式。要是配置里没有指定bind和密码,开启该参数后,redis只能本地访问,拒绝外部访问。 redis.conf安全设置: # 打开保护模式 protected-mode yes 2、开启Redis密码认证,添加复杂密码 redisredis.conf配置文件中,设置配置项req...
Redis缓存数据库安全加固指导(一)
weixin_30810239的博客
08-21 382
背景 在众多开源缓存技术中,Redis无疑是目前功能最为强大,应用最多的缓存技术之一,参考2018年国外数据库技术权威网站DB-Engines关于key-value数据库流行度排名,Redis暂列第一位,但是原生Redis版本在安全方面非常薄弱,很多地方不满足安全要求,如果暴露在公网上,极易受到恶意攻击,导致数据泄露和丢失。 本文主要是在原生开源软件Redis3.0基础上,系统的在安全特性方面...
Redis安全基线】- 在生产环境中需要注意的安全事项
XuanRan的博客
10-11 2491
Redis是一个高性能的键值存储数据库,但在实际使用中,如果没有适当的安全措施,可能会面临严重的安全风险。本文将介绍几种加强Redis安全性的最佳实践,包括防止弱口令、限制危险命令、修改默认端口等。
安全基线
weixin_34162228的博客
03-31 389
http://www.e-gov.org.cn/wangluoanquan/news004/201408/151491.html
基线检查及部分中间件部署规范.pdf
03-27
基线检查及部分中间件部署规范: 大致内容如下: Centos7安全基线 Windows2012安全基线 MSSQL2016部署规范 MYSQL5.6部署规范 部分中间件部署规范: - Nginx - Tomcat - Apache - IIS - Redis - Rabbit
Linux中间件安全加固攻防实战
最新发布
资深全栈架构师,乐于在 优快云 分享技术见解,与大家携手共进,共攀技术巅峰!
05-03 1022
这一触目惊心的案例揭示了中间件安全防护的极端重要性。作为系统架构的"战略要地",中间件一旦被攻破,攻击者将获得对整个系统的控制权。本文将深入剖析Linux中间件的安全攻防体系,提供从基础加固到高级防御的完整解决方案。
企业网络安全最佳实践指南(二)
2301_81250923的博客
12-11 2662
首先是网络安全管理部分。正所谓“三分技术、七分管理”,且不论这“三”和“七”的科学合理性,单从字面上就可以看出管理的重要性。管理是脑,技术是手,脑支配手,手配合脑。所以先将网络安全管理相关内容进行呈现。网络安全管理体系侧重于从管理维度,在网络安全相关法律、法规控制下,制定网络安全整体的战略规划,对网络安全实际工作进行战略指导。配合战略落地,在管理方面的实际工作主要有标准化工作流程、风险管控、应急管理、网络安全重保、安全培训以及计划管理、监督实施等内容。
系统安全配置技术规范-Apache(基线加固)
05-28
人工评估(手工检查)是对工具评估的一种补充, 它不需要在被评估目标系统上安装任何软件,对目标系统的运行和状态没有任何影响,在不允许安装软件进行检查的重要主机上显得非常有用。安全专家对各主机系统、服务器、业务系统、数据库以及各种应用服务器在内的目标系统进行人工评估。
服务器安全管理规范
weixin_41130610的博客
06-07 3035
** 服务器安全管理规范 ** 日常实际生产环境中,最怕就是服务器安全问题:数据丢失、人为删除、黑客攻击等问题 所以,黑客常用的入侵手段,还是有必要去了解一下的: 黑客入侵 linux 系统常用手段,有你不知道的没? 当你了解完这些常用手段之后,可能还是远远不够的,假如有一天真的遇到攻击了,怎么办呢?再来给你们带来一个好办法: 服务器遭受攻击后,这样排查处理不背锅! 如果,在日常环境中,你某天收到...
Redis六项安全加固标准配置(阿里云标准安全基线检查)
chaishen10000的专栏
05-13 3030
一、限制redis 配置文件访问权限 | 文件权限 描述 因为redis密码明文存储在配置文件中,禁止不相关的用户访问改配置文件是必要的,设置redis配置文件权限为600, 加固建议 执行以下命令修改配置文件权限: chmod 600 /<filepath>/redis.conf 操作时建议做好记录或备份 二、修改默认6379端口 | 服务配置 描述 避免使用熟知的端口,降低被初级扫描的风险 加固建议 编辑文件redis配置文件redis.conf,找到包含port的行,将默认的6379修改
Redis安全基线问题处理
wbxshi的博客
07-10 540
(1)创建redis用户组、用户(3)切换redis用户,启动redis服务。
Redis安全配置
CheerTan is here
06-10 619
先把链接贴上来: 限制访问网段 https://zhuanlan.zhihu.com/p/46467265 https://wangtingwei.info/?p=540 https://www.cnblogs.com/ysocean/p/9074787.html https://www.runoob.com/redis/redis-conf.html ...
redis连接不上,查看进程gpg-agentd刷爆CPU,恭喜你,你被挖矿了
mengruobaobao的博客
03-19 2261
最近发现有一台测试服务器的redis连接不上,查看进程,发现CPU200%之前遇到过类似的,第一感觉就是被入侵了。IO 情况、网络流量、内存情况、系统日志、啥也不看了,直接看crontab 定时任务crontab -l 一下看定时任务列表把定时任务删掉 crontab -r杀掉所有进程 kill -9 25286 处理结束1.漏洞描述Redis配置不当存在未授权访问漏洞,可以被攻击者恶意利用...
9-4 redis基线检查
weixin_43263566的博客
11-14 488
因此,在线上的Redis中,必须考虑禁用一些危险的命令,或者尽量避免任何人都可以使用这些命令。请注意,在修改端口后,确保相应的防火墙或网络设备也进行了相应的调整,以允许新的端口通过。在执行操作时,建议记录所做的更改,并定期备份Redis配置文件和数据,以备恢复需要。在执行操作时,建议记录所做的更改,并定期备份Redis配置文件和数据,以备恢复需要。在执行操作时,建议记录所做的更改,并定期备份Redis配置文件和数据,以备恢复需要。在执行操作时,请确保谨慎,并确认对应的文件路径和权限设置。
安全基线检查及部分中间件部署规范
weixin_68057794的博客
10-14 3885
安全基线检查及部分中间件部署规范
Redis安全配置和未授权访问写
pygain的博客
02-28 882
0x00 Redis 作为分布式数据库的一种 在安装后有时为了进行远程管理 会将bind 127.0.0.1 同时没有设置密码是非常危险的 能轻易导致服务器被攻破 0x01 Redis安全配置 CONFIG set requirepass "hellocarl"   设置密码 (一定要复杂) su -m nobody -c redis-server  使用nobody启动redis 
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鸭梨山大。

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值