公司的服務器被掃出redis相關漏洞,未授權的訪問漏洞!
就是應爲沒有設置密碼,所以被掃描出漏洞,設置個密碼就完事
修改配置文件
Redis的配置文件默認在/etc/redis.conf,找到如下行:
#requirepass foobared
去掉前面的註釋,並修改爲所需要的密碼:
requirepass myPassword (其中myPassword就是要設置的密碼)
重啓Redis
如果Redis已經配置爲service服務,可以通過以下方式重啓:
service redis restart
如果Redis沒有配置爲service服務,可以通過以下方式重啓:
關閉:redis-cli shutdown 或者 kill redis進程的pid
啓動 ./src/redis-server redis.conf &
ps -ef |grep redis 查看reids相關進程
登錄驗證
設置Redis認證密碼後,客戶端登錄時需要使用-a參數輸入認證密碼,不添加該參數雖然也可以登錄成功,但是沒有任何操作權限。如下:
$ ./redis-cli -h 127.0.0.1 -p 6379
127.0.0.1:6379> keys *
(error) NOAUTH Authentication required.
使用密碼認證登錄,並驗證操作權限:
$ ./redis-cli -h 127.0.0.1 -p 6379 -a myPassword
127.0.0.1:6379> config get requirepass
1) "requirepass"
2) "myPassword"
看到類似上面的輸出,說明Reids密碼認證配置成功
redis 增加密碼前一定要和研發的同學做好溝通,不然,你以增加完密碼,他們可能就提着