Redis安全性配置

　　最近Redis刚爆出一个安全性漏洞，个人服务器就“光荣的”中招了。黑客攻击的基本方法是：

• 扫描Redis端口，直接登陆没有访问控制的Redis
• 修改Redis存盘配置：config set dir /root/.ssh/; config set dbfilename /root/.ssh/authorized_keys
• 添加key：crackit，将其值设置为新的公钥。而后就能够随心所欲了。

　　不影响客户端程序的修复办法：

• 重命名config命令：rename-command CONFIG DO_NOT_USE_CONFIG
• 重启Redis

　　如今，咱们就来认识一下Redis安全性方面的一些知识。

　　首先，Redis从设计上来讲是用来被可信的客户端访问的，这就意味着不适于暴露给外部环境里的非可信客户端访问。最佳的实践方法是在Redis前面加一个访问控制层，校验用户请求。

　　其次，Redis自己提供了一些简单的配置以知足基本的安全控制。

1. ip绑定。若是不须要直接对外提供服务，bind 127.0.0.1就好了，切忌bind 0.0.0.0！
2. 端口设置。修改默认的6379，必定程度上避免被扫描。
3. 设置密码。Redis的密码是经过requirepass以明文的形式配置在conf文件里的，因此要尽量得长和复杂，下降被破解的风险。
4. 重命名或禁用某些高危操做命令。向config、flushall、flushdb这些操做都是很关键的，不当心就会致使数据库不可用。能够在配置文件中经过rename-command重命名或禁用这些命令。

 

　　零一积流|IT参考 原创文章，转载请注明出处: http://www.it-refer.com/2015/11/17/redis-security-config