redis访问安全加固
由于redis是易受攻击的服务,为了避免可能发生的内网渗透风险,通常需要为redis设置密码,并且设置为仅允许本地访问,或者修改默认端口。
加固方法可参考如下操作:
方式一:添加redis认证鉴权
方式二:配置redis仅监听在本地地址
方式三:修改默认端口
需要修改redis配置文件redis.conf,并且重启redis服务后生效。
设置redis密码
redis没有实现访问控制这个功能,但是它提供了一个轻量级的认证方式,可以编辑redis.conf配置来启用认证。
1、初始化Redis密码:
在配置文件中有个参数: requirepass 这个就是配置redis访问密码的参数;
比如 requirepass test123;
(Ps:需重启Redis才能生效)
redis的查询速度是非常快的,外部用户一秒内可以尝试多大150K个密码;所以密码要尽量长(对于DBA 没有必要必须记住密码);
2、不重启Redis设置密码:
在配置文件中配置requirepass的密码(当redis重启时密码依然有效)。
redis 127.0.0.1:6379> config set requirepass test123
查询密码:
redis 127.0.0.1:6379> config get requirepass
(error) ERR operation not permitted
密码验证:
redis 127.0.0.1:6379> auth test123
OK
再次查询:
redis 127.0.0.1:6379> config get requirepass
1) “requirepass”
2) “test123”
PS:如果配置文件中没添加密码 那么redis重启后,密码失效;
3、登陆有密码的Redis:
在登录的时候的时候输入密码:
redis-cli -p 6379 -a test123
先登陆后验证:
redis-cli -p 6379
redis 127.0.0.1:6379> auth test123
OK
AUTH命令跟其他redis命令一样,是没有加密的;阻止不了攻击者在网络上窃取你的密码;
认证层的目标是提供多一层的保护。如果防火墙或者用来保护redis的系统防御外部攻击失败的话,外部用户如果没有通过密码认证还是无法访问redis的。
配置redis仅监听在本地地址
redis.conf配置文件:
bind 127.0.0.1
通常我都设置为bind 0.0.0.0,允许远程连接。修改后重启redis服务。
修改默认6379端口
redis.conf配置文件:
port 6666
默认端口为6379。
redis相关命令
可执行文件 | 作用 |
redis-server | 启动redis |
redis-cli | redis命令行工具 |
redis-benchmark | 基准测试工具 |
redis-check-aof | AOF持久化文件检测工具和修复工具 |
redis-check-dump | RDB持久化文件检测工具和修复工具 |
redis-sentinel | 启动redis-sentinel |
最常用到的是redis-cli
redis-cli -help 查看参数
远程连接
redis-cli -h HOST -p PORT -a Password 如: redis-cli -h 127.0.0.1 -p 6379 -a test123
执行命令
redis-cli -h HOST -p PORT COMMAND 如: $redis-cli -h 127.0.0.1-p 6379 get hello "world"
关于命令这篇总结的比较好:https://www.cnblogs.com/kongzhongqijing/p/6867960.html