加固建議
防止這個漏洞需要修復以下三處問題 第一: 修改redis繫結的ip 如果只在本機使用redis服務那麼只要繫結127.0.0.1 如果其他主機需要訪問redis服務那麼只繫結客戶主機所在網路的介面 最好不要繫結0.0.0.0 另外需要通過主機內建的防火牆如iptables,或者其他外接防火牆禁止非業務主機訪問redis服務 第二: 設定訪問密碼 在 redis.conf 中找到「requirepass」字段,取消注釋並在後面填上你需要的密碼。 注:修改redis的配置需要重啟redis才能生效。 第三: 使用普通使用者啟動redis,並且禁止該使用者啟動shell,禁止使用root使用者啟動redis。
漏洞描述
redis埠對外開放並且沒有配置認證選項,並且以root許可權執行,未授權使用者可直接覆蓋/root/.ssh/authorized_keys 上傳公鑰直接用root賬號登陸ssh伺服器。
漏洞修復解決:redis 設定認證密碼
為redis設定密碼:設定客戶端連線後進行任何其他指定前需要實用的密碼。警告:因為redis速度非常快,所以在一台較好的伺服器下,乙個外部使用者可以在一秒鐘進行150k次的密碼嘗試,這意味著你需要指定非常非常強大的密碼來防止暴力破解。
方法一:
修改密碼的方法:
1、只需要在redis的配置檔案redis.conf中開啟requirepass就可以了。
cd /home/hgaop/test/redis-2.8.19/
vim redis.conf --找到下面這行,把注釋去掉,requirepass後面填寫需要修改的密碼
requirepass mypassword
2、重啟redis
ps -ef |grep redis --檢視redis程序
kill -9 13224 --殺死redis程序
ps -ef |grep redis --確認殺死
./redis-server ../redis.conf --重啟redis,指定配置檔案
ps -ef |grep redis
root 9309 1 0 15:22 ? 00:00:00 ./redis-server *:6379
root 9727 8627 0 15:28 pts/1 00:00:00 grep redis
/redis-cli -h 127.0.0.1 -p 6379 --不用密碼登入測試
127.0.0.1:6379> keys *
(error) noauth authentication required. --拒絕操作
./redis-cli -h 127.0.0.1 -p 6379 -a aop_redis@68 --加-a用密碼登入
127.0.0.1:6379> select 1
ok --修復成功
方法二:
redis安裝過後預設是沒有密碼的,可以通過配置檔案來設定密碼。設定密碼過後客戶端連線服務端就需要密碼驗證,安全性提高。
可以通過以下命令檢視是否設定了密碼:
上圖返回結果表示密碼為空,可以通過以下命令來修改改引數:
設定密碼後,需要驗證正確密碼才能使用客戶端,否則會報「err operation not permitted」錯,無法執行命令。
通過auth命令驗證密碼。基本語法:
127.0.0.1:6379> auth passwordok,密碼設定驗證成功。
Redis未授權訪問漏洞
一 漏洞描述和危害 redis因配置不當可以未授權訪問,被攻擊者惡意利用。攻擊者無需認證訪問到內部資料,可能導致敏感資訊洩露,黑客也可以惡意執行flushall來清空所有資料。攻擊者可通過eval執行lua 或通過資料備份功能往磁碟寫入後門檔案。如果redis以root身份執行,黑客可以給root賬...
Redis未授權訪問漏洞
一 漏洞描述和危害 redis因配置不當可以未授權訪問,被攻擊者惡意利用。攻擊者無需認證訪問到內部資料,可能導致敏感資訊洩露,黑客也可以惡意執行flushall來清空所有資料。攻擊者可通過eval執行lua 或通過資料備份功能往磁碟寫入後門檔案,如果redis以root身份執行,黑客可以給root賬...
redis未授權訪問漏洞
1 什麼是redis?redis是乙個開源的使用ansi c語言編寫 支援網路 可基於記憶體亦可持久化的日誌型 key value資料庫,並提供多種語言的api。2.redis 未授權訪問是什麼漏洞?redis是預設繫結在0.0.0.0 6379,並且沒有開啟認證,如果沒有採取相關的一些策略,比如新...