redis安全问题【原】
前提
假设redis安装在 IP 地址为 192.168.0.123 的linux服务器 .html
个人本机Win10操做系统 IP地址为 192.168.0.45 , 有一套java客户端代码可调用linux 上的redis服务.java
redis.conf 中 bind 的安全性
- 首先对bind做下解释,bind 后跟的是本机自身能够识别的本地网卡IP地址,而不是说容许IP为XXX.XXX.XXX.XXX的客户端访问redis服务
- 其次强调一点: 若是配置两行bind,无论前面几行的 IP 是否真实存在也不会报错,只以最后一行为标准
bind 192.168.0.123
bind 127.0.0.1
- 另外强调一点: 若是单行配置关联多个 IP, 则这些 IP 必须是当前机器自身所在的网卡IP, 只要其中一个IP机器自身不能识别就会报错,因此能够写成
bind 192.168.0.123 127.0.0.1
奇葩的是,网上广为流传的是用bind 127.0.0.1 设置成只容许redis所在机器访问,然而在集群模式下,这个脑残设计有什么意义呢! 难道全部人都没有遇到A机器访问B机器redis的应用场景吗?linux
参考文章 http://blog.csdn.net/fxq8866/article/details/58238802 后,总结以下redis
| 方式一 | bind IP列表 | win10 java客户端问题 | linux 上redis-cli客户端问题 | 是否推荐 |
| 1 | bind 192.168.0.123 | 正常 | Connection refused | 不 |
| 2 | bind 127.0.0.1 | Connection refused | 正常 | 不 |
| 3 | bind 192.168.0.123 127.0.0.1 | 正常 | 正常 | 是 |
| 4 | bind 0.0.0.0 | 正常 | 正常 | 是 |
因此尽可能使用方式3或4来bind IP数据库
用防火墙iptables配置指定IP才能访问redis服务
在网上四处摸索后以为惟一合理的作法,就是使用防火墙iptables,针对6379端口作IP拦截策略,没有其它.安全
首先安利三波 iptables详解 iptables用法简介 关于iptables添加规则不生效的问题服务器
因而配置如下三步:tcp
- 只容许IP为192.168.0.1到192.168.0.255的 IP 能访问redis服务,个人win10 所在IP为192.168.0.45
- 其它全部IP禁止访问6379端口
- 保存IP 策略,让重启之后也能生效
- 查看iptables规则
[root@localhost bin]#iptables -I INPUT -s 192.168.0.1/192.168.0.255 -p tcp --dport 6379 -j ACCEPT [root@localhost bin]#iptables -A INPUT -p tcp --dport 6379 -j REJECT [root@localhost bin]#service iptables save iptables:将防火墙规则保存到 /etc/sysconfig/iptables: [肯定] [root@localhost bin]#service iptables status
部分参数解释 -I : 添加到头部 -A: 添加到尾部性能
由于规则是按从头至尾匹配优先级执行的,因此 REJECT要追加到尾部,从而让ACCEPT先匹配,否则会致使Connection 问题ui
redis.conf 配置访问密码
redis设置访问密码有两种方式
- 一种是redis.conf文件中指定密码(强列推荐)
requirepass mypassword
- 一种是在redis-cli登陆后使用命令(不推荐,千万别用)
127.0.0.1:6379> CONFIG set requirepass "mypassword" 127.0.0.1:6379> CONFIG get requirepass
若是设置了主从模式,则须要在从数据库的配置文件中经过masterauth参数设置主数据库的密码
另外由于redis的强大性能,黑客能够每秒十几万的密码批量交互redis服务端以验证真实密码,因此,咱们的redis密码尽可能设置得又臭又长点吧.
redis.conf 清除重要命令
禁用CONFIG, flushall ,flushdb 这三个重要命令
rename-command CONFIG "" rename-command flushall "" rename-command flushdb ""
nobody 最低权限启动redis (暂不会)
su -m nobody -c xxx
相关文章
- 1. redis 安全问题
- 2. Redis的安全问题
- 3. JSONP原理以及安全问题
- 4. 安全问题
- 5. Web安全问题
- 6. ubuntu 安全问题
- 7. Elasticsearch安全问题
- 8. Sourcemap安全问题
- 9. HCE安全问题
- 10. API安全问题
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Docker 安装 Redis - Docker教程
- • ☆技术问答集锦(13)Java Instrument原理
- • PHP Ajax 跨域问题最佳解决方案
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. redis 安全问题
- 2. Redis的安全问题
- 3. JSONP原理以及安全问题
- 4. 安全问题
- 5. Web安全问题
- 6. ubuntu 安全问题
- 7. Elasticsearch安全问题
- 8. Sourcemap安全问题
- 9. HCE安全问题
- 10. API安全问题