Redis是一個(gè)高性能的key-value數(shù)據(jù)庫(kù)�����,這兩年可謂火的不行����。而Redis的流行也帶來(lái)一系列安全問(wèn)題,不少攻擊者都通過(guò)Redis發(fā)起攻擊�����。本文將講解這方面的內(nèi)容�����,包括Redis提供的訪問(wèn)控制和代碼安全問(wèn)題,以及可以由惡意輸入和其他類似的手段觸發(fā)的攻擊����。
Redis通用安全模塊
Redis被設(shè)計(jì)成只能由可信環(huán)境的可信機(jī)器訪問(wèn)。這意味著將它直接暴露在互聯(lián)網(wǎng)或者其他可以由不可信機(jī)器通過(guò)TCP或者UNIX SCOKET直接連接的環(huán)境中��。
例如�,在通常的WEB應(yīng)用程序使用Redis作為數(shù)據(jù)庫(kù),cache,或者消息系統(tǒng)�。WEB應(yīng)用程序的客戶端將查詢Redis生成頁(yè)面或執(zhí)行請(qǐng)求或由用戶觸發(fā)。在這個(gè)例子中���,WEB應(yīng)用鏈接了Redis和不可信的客戶端。
這是一個(gè)特定的例子���,但是一般來(lái)說(shuō)��,不授信的Redis鏈接應(yīng)該被監(jiān)控����,驗(yàn)證用戶輸入�����,再?zèng)Q定執(zhí)行什么樣的操作。因?yàn)���,Redis追求的不是最大的安全性��,而是簡(jiǎn)潔與高效��。
網(wǎng)絡(luò)安全
Redis鏈接應(yīng)該對(duì)每個(gè)受信的客戶端開放���。所以,服務(wù)器運(yùn)行的Redis應(yīng)該只被使用Redis應(yīng)用的計(jì)算機(jī)連接�����。在大多數(shù)直接暴露在互聯(lián)網(wǎng)的單個(gè)計(jì)算機(jī)�����,例如����,虛擬化的LINUX實(shí)例(LINODE,EC2��,…..)
Redis端口應(yīng)該被防火墻阻止來(lái)自外部的訪問(wèn)�����。客戶端應(yīng)該仍然能通過(guò)服務(wù)器的本地回環(huán)接口訪問(wèn)Redis�。注意,通過(guò)在Redis.CONF添加下面一句就可以綁定本地回環(huán)���,阻止外網(wǎng)訪問(wèn)了�����。
bind 127.0.0.1
因?yàn)镽edis的特性�����,沒(méi)有對(duì)外網(wǎng)訪問(wèn)進(jìn)行限制會(huì)是一個(gè)很重大的安全問(wèn)題��。例如一條簡(jiǎn)單的FLUSHALL命令就能被攻擊者用來(lái)刪除整個(gè)數(shù)據(jù)設(shè)置���。
身份驗(yàn)證機(jī)制
如果你們不想使用訪問(wèn)限制的話����,Redis提供了一個(gè)身份驗(yàn)證功能,可以通過(guò)編輯Redis.CONF文件來(lái)實(shí)現(xiàn)它�。
如果開啟了身份驗(yàn)證功能�����,Redis將拒絕所有的未身份驗(yàn)證的客戶端的所有操作������?蛻舳丝梢园l(fā)送AUTH命令+密碼來(lái)驗(yàn)證自己�����。
小編推薦閱讀
