Redis安全
一、账号密码端口安全
1)账号密码安全。
config get requiespass
检查是否设置有密码,设置密码:CONFIG set requirepass "runoob"
配置文件:# requirepass foobared
2)网络配置
配置文件:bind 192.168.1.100 #Redis 服务器只监听本地网络接口,只有本机可以访问 Redis 服务器。
如果不需要外网访问,则配置:bind 127.0.0.1或者bind localhost
或者配置:protected-mode yes Redis 服务器完全禁止远程访问,只允许本机访问。
修改默认端口,加密端口,默认是6379.例如可修改为27263等.
3)禁用危险命令
Redis 中有一些危险命令,例如 FLUSHALL、FLUSHDB、CONFIG 等,这些命令可以导致数据丢失或系统崩溃。为了防止误操作,可以禁用这些危险命令。配置:
rename-command CONFIG ""
rename-command FLUSHDB ""
rename-command FLUSHALL ""
二、日志记录和审计
为了及时发现和处理安全事件,可以开启 Redis 的日志记录和审计功能。可以按照以下步骤进行配置:
logfile "/var/log/redis/redis.log"
loglevel verbose
debug:最详细的日志级别,适用于调试和排查问题。
verbose:较为详细的日志级别,适用于开发和测试阶段。
notice:一般的日志级别,适用于正常运行时的信息记录。
warning:警告级别,适用于可能出现问题的情况。
error:错误级别,适用于发生错误时的信息记录。
critical:严重错误级别,适用于发生严重错误时的信息记录。
三、TLS 加密通信
为了保证 Redis 的通信安全性,可以使用 TLS 加密通信。可以按照以下步骤进行配置:
生成证书和私钥文件。
openssl req -newkey rsa:2048 -nodes -keyout redis.key -x509 -days 365 -out redis.crt
将生成的证书和私钥文件复制到 Redis 服务器的指定目录。
sudo mkdir /etc/redis/ssl
sudo cp redis.crt /etc/redis/ssl
sudo cp redis.key /etc/redis/ssl
打开 Redis 配置文件,找到以下配置项:
bind 192.168.1.100
port 27388
tls-port 27489
tls-cert-file /etc/redis/ssl/redis.crt
tls-key-file /etc/redis/ssl/redis.key
四、云厂商,配置白名单。自建在防火墙设置可访问的白名单。
