1.安裝的時候使用非root賬號安裝
在linux上為redis單獨建乙個使用者,root,zhangsan,mysql....然後使用建好的這個使用者登入linux,然後進行安裝和啟動。
好處就是一些需要root使用者操作的許可權進行了必要的限制。
2.為redis增加乙個訪問密碼
第480行redis.conf中requirepass設定項中填寫密碼。
注意:這個密碼沒有任何加密方式,是以明文儲存的,無法防止擁有足夠的訪問網路許可權的攻擊者進行竊聽,因為redis並不支援資料加密。
redis官方特意有一句話:redis運算速度非常快,防止其他人暴力破解密碼。
3.以防有人更改我們的conf檔案中的設定
通過設定config命令防止其他人執行config set *** yyy的命令。
1)禁用config
495行rename-command config ""將config設定為""即可禁用。
2)將 config這個命令命名成乙個很複雜的字串
rename-command config "b840fc02d524045429941cc15f59e41cb7be6c52"
4.防火牆
推薦redis例項在區域網內訪問,即程式和redis例項執行在同乙個區域網。一般情況下一台直接暴露在internet的計算機,防火牆應該防止外部使用者訪問它的redis埠,使用者仍可以通過本地介面來訪問redis。
不禁止外部訪問redis的話,將會產生非常嚴重的後果。比如,乙個flushall操作就可以當做外部攻擊來刪除redis上的所有資料。
5.加ip黑名單或者白名單
1)作業系統層面,設定白名單,只允許符合條件的ip訪問,例如:ecs上有設定白名單的選項。
2)在redis層面,設定redis.conf中的bind選項,例如:bind 127.0.0.1
a.bind後面繫結的是允許訪問的ip位址,如果有多個則ip之間用空格隔開
b.如果允許任何ip訪問則將bind選項登出
6.做一些ssl安全訪問**
7.為redis例項增加日誌記錄
1)指定日誌記錄級別
# redis總共支援四個級別:debug、verbose、notice、warning,預設為verbose
# debug 記錄很多資訊,用於開發和測試
# varbose 有用的資訊,不像debug會記錄那麼多
# notice 普通的verbose,常用於生產環境
# warning 只有非常重要或者嚴重的資訊會記錄到日誌
loglevel debug
2)配置log檔案位址
# 預設值為stdout,標準輸出,若後台模式會輸出到/dev/null
#logfile stdout
logfile /var/log/redis/redis.log
MySQL安全策略
資料是企業核心資產,資料對企業而言是最重要的工作之一。稍有不慎,極有可能發生資料無意洩露,甚至被黑客惡意竊取的風險。每年業界都會傳出幾起大事件,某知名或不知名的公司被脫褲 拖庫的諧音,意思是整個資料庫被黑客盜取 之類的。從資料安全上也可以分為外網安全及內部操作安全,下面分別討論一下。內部操作安全策略...
SSH安全策略
ssh安全策略 ss配置基本安全策略 調整sshd服務配置,並過載服務 root vim etc ssh sshd config protocol 2 去掉ssh協議v1 permitrootlogin no 禁止root使用者登入 permitemptypasswords no 禁止密碼為空的使用...
無線安全策略
安全認證是一整套安全策略認證機制,它分為兩個部分,通常安全策略是由鏈路認證是和接入認證配合使用的。需要明確的是,鏈路認證和接入認證是兩個不同的概念,有以下圖 從表中可以看出,安全策略可以分為wep wpa wpa2和wapi幾種,這幾種安全策略對應的鏈路認證其實只有open和shared key a...