Redis未授权访问漏洞解决方案

一.漏洞描述和危害

Redis因配置不当可以未授权访问,被攻击者恶意利用。

攻击者无需认证访问到内部数据,可能导致敏感信息泄漏,黑客也可以恶意执行flushall来清空所有数据。

二.已确认被利用的软件和系统

对公网开放,且未启用认证的redis服务器。

三.建议修复方案

1.指定redis服务使用的网卡(需要重启redis方能生效)

在rdis.conf文件中找到“#bind 127.0.0.1”,把前面的#号去掉,然后保存。这样修改之后只有本地能访问redis。

2.设置访问密码(需要重启redis)

在redis.conf中找到“requierpass”字段,在后面填写你需要的密码,redis客户端也需要使用此秘密来访问redis服务。

3.修改redis服务运行帐号

创建一个低权限的用户运行redis服务,且禁用该帐号的登录权限。可以限制攻击者王磁盘写入文件,但是redis数据还是可能被黑客访问,或者恶意删除。

4.设置防火墙策略

如果正常业务中redis需要被其他服务器来访问,可以设置iptables策略仅允许指定的ip来访问redis服务。

201504070901


2 条评论

  1. nier说道:

    怎么了。

发表评论

登录 后发表评论.