密碼是由系統(tǒng)管理員在Redis�����。CONFIG文件中設(shè)置的明文密碼�����,為了防止暴力破解攻擊他應(yīng)該足夠長����。原因有兩個(gè):
Redis的執(zhí)行效率非���?欤獠吭O(shè)備每秒可以測試相當(dāng)數(shù)量的密碼
Redis的密碼是存儲(chǔ)在Redis.conf文件和內(nèi)部客戶端的配置中的��,因此不需要管理員記住。所以可以使用相當(dāng)長的密碼��。
身份驗(yàn)證的目標(biāo)是提供第二層的安全保障����。這樣當(dāng)防火墻或者其他第一層的系統(tǒng)安全設(shè)置失效的話,一個(gè)外部設(shè)備在沒有密碼的情況下仍然不能訪問redia����。
AUTH命令像其他的redia命令一樣是不加密傳輸?shù)模运荒茏柚构粽咴趦?nèi)網(wǎng)的竊聽��。
數(shù)據(jù)加密支持
Redis不支持加密����。為了受信的客戶端可以以加密形式通過互聯(lián)網(wǎng)可以采用加密協(xié)議(SSL)傳輸數(shù)據(jù)。
禁用特定的命令
禁用Redis的一些命令是可行的����,或者將他們改名。這樣來自客戶端的請求就只能執(zhí)行有限的命令���。
例如��,虛擬的服務(wù)器提供商可能提供托管的Redis服務(wù)����。在這種情況下,普通用戶不應(yīng)該能夠調(diào)用Redis的配置命令來修改該配置實(shí)例�,但提供和刪除服務(wù)的系統(tǒng)能夠有這樣的權(quán)限。
在這種情況下�,從命令表中重命名命令或者完全隱藏命令是可能的。這個(gè)功能可用在Redis.conf配置文件里做為一個(gè)聲明����。例如:
rename-command CONFIG b840fc02d524045429941cc15f59e41cb7be6c52
在上面的例子里,CONFIG命令被更名為一個(gè)更為陌生的名字�。它也完全可以被重命名成空字符串,例如:
rename-command CONFIG ""
由精密的輸入觸發(fā)的攻擊
還有一類攻擊�����,攻擊者即使沒有獲得數(shù)據(jù)庫的訪問權(quán)限也可以從外部發(fā)起攻擊�����。一個(gè)此類攻擊的例子是通過Redis的內(nèi)部函數(shù)向Redis里插入數(shù)據(jù)�����。
攻擊者可以通過一個(gè)web表單將一組字符串提交到一個(gè)hash的同一個(gè)堆棧,引起時(shí)間復(fù)雜度從O(1)到O(n) ,消耗更多的CPU資源�����,最終導(dǎo)致DOS攻擊����。為了防止這種特定的攻擊方式����,Redis為每個(gè)執(zhí)行請求隨機(jī)分配hash。
小編推薦閱讀
