背景
在眾多開源快取技術中,redis無疑是目前功能最為強大,應用最多的快取技術之一,參考2023年國外資料庫技術權威**db-engines關於key-value資料庫流行度排名,redis暫列第一位,但是原生redis版本在安全方面非常薄弱,很多地方不滿足安全要求,如果暴露在公網上,極易受到惡意攻擊,導致資料洩露和丟失。
本文主要是在原生開源軟體redis3.0基礎上,系統的在安全特性方面進行的增強,很多增強點涉及了開源**的修改,後續章節闡述的redis快取資料庫的安全規範, 理論上適用於所有應用redis的產品。
本系列共**三篇,分九個章節,本文從敏感資料與加密保護,口令安全,日誌審計三個章節闡述了redis快取資料庫加固措施
敏感資料與加密保護
1.密碼儲存(重要)
安全問題:原生redis服務端密碼requirepass和masterauth是明文儲存到redis.conf。
解決方案: 服務端密碼採用pbkdf2加密後儲存到redis.conf。
考慮到效能問題,每次認證都用pbkdf2會比較耗時,經過評審,採用在首次認證成功後,記憶體採用sha256快取,後續的請求優先使用sha256校驗。
2.支援秘鑰替換(重要)
安全問題:涉及加解密的秘鑰不能寫死到**中。
解決方案: 秘鑰支援定期替換。
➤redis服務端redis-server:
配置檔案增加配置項:cipher-dir
配置為redis_shared.key和root.key所在的資料夾的全路徑,例如:cipher-dir /opt/redis/etc/cipher
➤redis客戶端:redis-cli
新增引數-cipherdir,指向redis_shared.key和root.key所在的資料夾的全路徑
例如:redis-cli -h 127.0.0.1 -cipherdir /opt/redis/etc/cipher -a sessionrdb@dbuser@changeme_123 -p 32091
➤redis客戶端sdk:jedis*.jar
同乙個程序內,jedis介面為string, dbname@user@pwd,因為第三方介面(類似jdbc),無法加密。
3.密碼傳輸(重要)
安全問題:原生redis通過config get命令可能獲取到服務端敏感資訊。
解決方案:禁止將口令等敏感資訊傳送到客戶端,因此需要禁掉config get requirepas/masterauth/requireuserpass等功能。
4.密碼修改(重要)
安全問題:修改密碼明文傳輸:config set masterauth pwd
解決方案:redis記憶體儲存明文密碼問題: masterauth 使用aes128加密,密碼採用aes128儲存
口令安全
1.產品預設啟用資料庫口令複雜度檢查功能
安全問題:redis修改密碼沒有複雜度檢查。
解決方案:提供單獨的redis修改工具來修改密碼,特別注意以下幾點:
1.進行口令複雜度檢查。
2.在輸入錯誤的使用者名稱或密碼時,不能出現類似於「密碼錯誤」、「使用者名稱不存在」之類的過於明確的原因提示資訊,以防止攻擊者用於猜解系統使用者名稱/口令。
3.修改密碼要校驗老密碼。
4.修改資料庫密碼不能和使用者名稱一樣。
5.互動式密碼修改時要隱藏密碼。
6.在文件中建議通過互動式修改密碼。
2.防暴力破解,配置賬戶登入失敗嘗試次數
安全問題:redis原生版本存在暴力破解情況。
解決方案:最大失敗次數:maxauthfailtimes(單位 次,有效範圍(0,10萬],預設值1萬)
說明:該配置項只支援在啟動時redis.conf配置,不支援動態修改,遮蔽掉對應config set。
不支援設定為0:表示不鎖定任何ip。
3.配置賬戶鎖定後自動解鎖時間
設定為0時,表示永久鎖定。
說明: 該配置項只支援在啟動時redis.conf配置,不支援動態修改,遮蔽掉對應config set。
4.檢視鎖定ip
問題:ip鎖定後需要檢視被鎖定ip。
解決方案:
只有管理員可以檢視已經鎖定的ip列表,分隔符為英文冒號(:)
示例1:config get lockedips
返回:10.67.147.111;10.67.147.112;
示例2:config get lockedips
返回:10.67.147.111;
說明:不支援config set lockedips,如果強制執行,返回錯誤:err unsupported config parameter: lockedips
5.手工鎖定ip的解除
只有管理員可以執行命令解鎖鎖定的ip,只支援解鎖單個ip或者解鎖全部ip
解決方案:
執行手動解鎖,記錄trace,例如:
例如:26 dec 03:15:19.958 * 10.67.147.113 unlocked by 10.67.147.111:59417日誌審計
6.安全審計
1.redis自身支援日誌記錄到系統日誌,如/var/log/localmessage。但需要通過在redis.conf進行如下配置:
syslog-enabled yes
syslog-ident redis
syslog-facility local0
2.客戶端登入,記錄客戶端ip,賬號等資訊。
3.相關維護操作必須有詳細的日誌記錄。
示例: 29118:s 26 nov 11:19:29.100 * the readdbuser logged in successfully;10.145.93.119:52817;
7.操作日誌轉儲
安全問題:官方版本redis日誌不會轉儲,長時間執行可能會把磁碟佔滿。
解決方案:單獨執行tracemonitor程序(python版),定期管理redis日誌檔案大小,主要是日誌壓縮和定期刪除,避免占用過多磁碟。
說明:目前平台預設60秒檢測一次,日誌達到20m壓縮,日誌個數最大50個。
mysql資料庫安全加固 資料庫安全加固系統
安全是多個環節層層防護 共同配合的結果。也就是說在安全領域不能僅僅依靠某乙個環節完成所有的安全防護措施,對於資料庫安全領域也是一樣。資料庫領域的安全措施通常包括 身份識別和身份驗證 自主訪問控制和強制訪問控制 安全傳輸 系統審計 資料庫儲存加密等。只有通過綜合有關安全的各個環節,才能確保高度安全的系...
redis資料庫快取
使用redis作為快取,資料還需要存入資料庫中嗎?我的答案是 1redis只是快取,不是資料庫如mysql,所以redis中有的資料庫,mysql中一定有。2使用者請求先去請求redis,如果沒有,再去資料庫中去讀取。3redis中快取一些請求量比較大的資料 這些快取資料,mysql中一定也是有的 ...
MySQL資料庫安全基線(加固方法)
系統層面配置 伺服器配置 戶和密碼配置 使用者密碼過期時間小於等於90天 配置檔案中設定 mysqld default password lifetime 90 重新命名root賬號 use mysql update user set user 新的使用者名稱 where user root sel...