Redis是一個高性能的key-value數(shù)據(jù)庫�,這兩年可謂火的不行。而Redis的流行也帶來一系列安全問題�,不少攻擊者都通過Redis發(fā)起攻擊��。本文將講解這方面的內(nèi)容�,包括Redis提供的訪問控制和代碼安全問題����,以及可以由惡意輸入和其他類似的手段觸發(fā)的攻擊。
Redis通用安全模塊
Redis被設(shè)計成只能由可信環(huán)境的可信機器訪問���。這意味著將它直接暴露在互聯(lián)網(wǎng)或者其他可以由不可信機器通過TCP或者UNIX SCOKET直接連接的環(huán)境中��。
例如�,在通常的WEB應(yīng)用程序使用Redis作為數(shù)據(jù)庫��,cache,或者消息系統(tǒng)��。WEB應(yīng)用程序的客戶端將查詢Redis生成頁面或執(zhí)行請求或由用戶觸發(fā)���。在這個例子中�����,WEB應(yīng)用鏈接了Redis和不可信的客戶端���。
這是一個特定的例子����,但是一般來說��,不授信的Redis鏈接應(yīng)該被監(jiān)控����,驗證用戶輸入,再決定執(zhí)行什么樣的操作���。因為�����,Redis追求的不是最大的安全性�,而是簡潔與高效��。
網(wǎng)絡(luò)安全
Redis鏈接應(yīng)該對每個受信的客戶端開放����。所以,服務(wù)器運行的Redis應(yīng)該只被使用Redis應(yīng)用的計算機連接�����。在大多數(shù)直接暴露在互聯(lián)網(wǎng)的單個計算機,例如�,虛擬化的LINUX實例(LINODE,EC2���,…..)
Redis端口應(yīng)該被防火墻阻止來自外部的訪問���?蛻舳藨(yīng)該仍然能通過服務(wù)器的本地回環(huán)接口訪問Redis��。注意��,通過在Redis.CONF添加下面一句就可以綁定本地回環(huán)���,阻止外網(wǎng)訪問了。
bind 127.0.0.1
因為Redis的特性��,沒有對外網(wǎng)訪問進行限制會是一個很重大的安全問題�。例如一條簡單的FLUSHALL命令就能被攻擊者用來刪除整個數(shù)據(jù)設(shè)置。
身份驗證機制
如果你們不想使用訪問限制的話�,Redis提供了一個身份驗證功能,可以通過編輯Redis.CONF文件來實現(xiàn)它��。
如果開啟了身份驗證功能�����,Redis將拒絕所有的未身份驗證的客戶端的所有操作����?蛻舳丝梢园l(fā)送AUTH命令+密碼來驗證自己。
小編推薦閱讀
