1 設置密碼
Vim /etc/redis/redis.conf
Requirepass your password
2 服務器權限最小化
修改redis服務運行賬號,確保一最低權限運行,並禁用該賬號的登錄權限
Useradd -M -s /sbin/nologin username
3 如非必要,僅允許redis本地通信
Bind 127.0.0.1
4 如要和其他服務器通信,則可以通過 iptables 策略,僅允許指定的 IP 來訪問 Redis 服務。
1. iptables -A INPUT -s x.x.x.x -p tcp –dport 6379 -j ACCEPT
5 精細化授權
Redis 無權限分離,其管理員賬號和普通賬號無明顯區分。攻擊者登錄後可執行任意操作,因此需要隱藏以下重要命令:FLUSHDB, FLUSHALL, KEYS,PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME,DEBUG, EVAL。
下述配置將 config/flushdb/flushall 設置爲空,即禁用該命令;也可設置爲一些複雜的、難以猜測的名字。
1. rename-command CONFIG “”
2. rename-command flushall “”
3. rename-command flushdb “”
4. rename-command shutdown shotdown_test
保存後,執行 /etc/init.d/redis-server restart 重啓生效。