Redis安全性配置

　　最近Redis剛爆出一個安全性漏洞，個人服務器就「光榮的」中招了。黑客攻擊的基本方法是：

• 掃描Redis端口，直接登陸沒有訪問控制的Redis
• 修改Redis存盤配置：config set dir /root/.ssh/; config set dbfilename /root/.ssh/authorized_keys
• 添加key：crackit，將其值設置爲新的公鑰。而後就能夠隨心所欲了。

　　不影響客戶端程序的修復辦法：

• 重命名config命令：rename-command CONFIG DO_NOT_USE_CONFIG
• 重啓Redis

　　如今，咱們就來認識一下Redis安全性方面的一些知識。

　　首先，Redis從設計上來講是用來被可信的客戶端訪問的，這就意味着不適於暴露給外部環境裏的非可信客戶端訪問。最佳的實踐方法是在Redis前面加一個訪問控制層，校驗用戶請求。

　　其次，Redis自己提供了一些簡單的配置以知足基本的安全控制。

1. ip綁定。若是不須要直接對外提供服務，bind 127.0.0.1就好了，切忌bind 0.0.0.0！
2. 端口設置。修改默認的6379，必定程度上避免被掃描。
3. 設置密碼。Redis的密碼是經過requirepass以明文的形式配置在conf文件裏的，因此要儘量得長和複雜，下降被破解的風險。
4. 重命名或禁用某些高危操做命令。向config、flushall、flushdb這些操做都是很關鍵的，不當心就會致使數據庫不可用。能夠在配置文件中經過rename-command重命名或禁用這些命令。

 

　　零一積流|IT參考 原創文章，轉載請註明出處: http://www.it-refer.com/2015/11/17/redis-security-config