背景
在衆多開源緩存技術中,Redis無疑是目前功能最爲強大,應用最多的緩存技術之一,參考2018年國外數據庫技術權威網站DB-Engines關於key-value數據庫流行度排名,Redis暫列第一位,但是原生Redis版本在安全方面非常薄弱,很多地方不滿足安全要求,如果暴露在公網上,極易受到惡意×××,導致數據泄露和丟失。
本文主要是在原生開源軟件Redis3.0基礎上,系統的在安全特性方面進行的增強,很多增強點涉及了開源代碼的修改,後續章節闡述的Redis緩存數據庫的安全規範, 理論上適用於所有應用Redis的產品。
本系列共連載三篇,分九個章節,本文從敏感數據與加密保護,口令安全,日誌審計三個章節闡述了Redis緩存數據庫加固措施
敏感數據與加密保護
1.密碼保存(重要)
安全問題:原生Redis服務端密碼requirepass和masterauth是明文保存到redis.conf。
解決方案: 服務端密碼採用PBKDF2加密後保存到redis.conf。
考慮到性能問題,每次認證都用PBKDF2會比較耗時,經過評審,採用在首次認證成功後,內存採用SHA256緩存,後續的請求優先使用SHA256校驗。
2.支持祕鑰替換(重要)
安全問題:涉及加解密的祕鑰不能寫死到代碼中。
解決方案: 祕鑰支持定期替換。
➤redis服務端redis-server:
配置文件增加配置項:cipher-dir
配置爲redis_shared.key和root.key所在的文件夾的全路徑,例如:cipher-dir /opt/redis/etc/cipher
➤redis客戶端:redis-cli
添加參數-cipherdir,指向redis_shared.key和root.key所在的文件夾的全路徑
例如:redis-cli -h 127.0.0.1 -cipherdir /opt/redis/etc/cipher -a sessionrdb@dbuser@Changeme_123 -p 32091
➤redis客戶端SDK:jedis*.jar
同一個進程內,Jedis接口爲string, dbname@user@pwd,因爲第三方接口(類似Jdbc),無法加密。
3.密碼傳輸(重要)
安全問題:原生Redis通過config get命令可能獲取到服務端敏感信息。
解決方案:禁止將口令等敏感信息傳送到客戶端,因此需要禁掉config get requirepas/masterauth/requireuserpass等功能。
4.密碼修改(重要)
安全問題:修改密碼明文傳輸:config set masterauth pwd
解決方案:Redis內存保存明文密碼問題: masterauth 使用AES128加密,密碼採用AES128保存
口令安全
1.產品缺省啓用數據庫口令複雜度檢查功能
安全問題:Redis修改密碼沒有複雜度檢查。
解決方案:提供單獨的Redis修改工具來修改密碼,特別注意以下幾點:
1.進行口令複雜度檢查。
2.在輸入錯誤的用戶名或密碼時,不能出現類似於“密碼錯誤”、“用戶名不存在”之類的過於明確的原因提示信息,以防止×××者用於猜解系統用戶名/口令。
3.修改密碼要校驗老密碼。
4.修改數據庫密碼不能和用戶名一樣。
5.交互式密碼修改時要隱藏密碼。
6.在文檔中建議通過交互式修改密碼。
2.防暴力破解,配置賬戶登錄失敗嘗試次數
安全問題:Redis原生版本存在暴力破解情況。
解決方案:最大失敗次數:maxauthfailtimes(單位 次,有效範圍(0,10萬],默認值1萬)
說明:該配置項只支持在啓動時redis.conf配置,不支持動態修改,屏蔽掉對應config set。
不支持設置爲0:表示不鎖定任何IP。
3.配置賬戶鎖定後自動解鎖時間
鑑權失敗鎖定時間:authfaillocktime(單位分鐘,有效範圍[0~999],默認值10)
設置爲0時,表示永久鎖定。
說明: 該配置項只支持在啓動時redis.conf配置,不支持動態修改,屏蔽掉對應config set。
4.查看鎖定IP
問題:IP鎖定後需要查看被鎖定IP。
解決方案:
只有管理員可以查看已經鎖定的IP列表,分隔符爲英文冒號(:)
示例1:config get lockedips
返回:10.67.147.111;10.67.147.112;
示例2:config get lockedips
返回:10.67.147.111;
說明:不支持config set lockedips,如果強制執行,返回錯誤:ERR Unsupported CONFIG parameter: lockedips
5.手工鎖定IP的解除
只有管理員可以執行命令解鎖鎖定的IP,只支持解鎖單個IP或者解鎖全部IP
解決方案:
示例1,解鎖單個IP:config set unlockips 10.67.147.111
示例2,解鎖所有IP:config set unlockips “all”
說明:不支持config get unlockips,如果強制執行,返回空,redis-cli提示:(empty list or set)
如果參數中的IP沒有出現過異常,會返回解鎖失敗,例如:
(error) ERR Invalid argument '10.67.147.111' for CONFIG SET 'unlockips'
執行手動解鎖,記錄trace,例如:
例如:26 Dec 03:15:19.958 * 10.67.147.113 unlocked by 10.67.147.111:59417日誌審計
6.安全審計
1.Redis自身支持日誌記錄到系統日誌,如/var/log/localmessage。但需要通過在redis.conf進行如下配置:
syslog-enabled yes
syslog-ident redis
syslog-facility local0
2.客戶端登錄,記錄客戶端IP,賬號等信息。
3.相關維護操作必須有詳細的日誌記錄。
示例: 29118:S 26 Nov 11:19:29.100 * The readdbuser logged in successfully;10.145.93.119:52817;
7.操作日誌轉儲
安全問題:官方版本Redis日誌不會轉儲,長時間運行可能會把磁盤佔滿。
解決方案:單獨運行tracemonitor進程(python版),定期管理Redis日誌文件大小,主要是日誌壓縮和定期刪除,避免佔用過多磁盤。
說明:目前平臺默認60秒檢測一次,日誌達到20M壓縮,日誌個數最大50個。