(A)網絡加固
綁定127.0.0.1,redis默認監聽127.0.0.1。如果只是本地通信,請確保監聽是本地的。這種方法減輕了redis的風險。在redis.conf中對其進行如下配置:
綁定127.0.0.1
(2)設置防火墻
如果其他機器需要訪問,或者設置了從模式,則需要添加相應的防火墻設置。該命令如下所示:
` iptables -A輸入-s x.x.x.x -p tcp - dport 6379 -j接受'
(3)添加認證
默認情況下,redis中不啟用密碼驗證。打開配置文件/etc/redis/redis.conf,可以設置認證密碼。保存Redis.conf,重啟Redis(/etc/init . d/Redis-server restart)後,需要執行(auth password)。例子如下:
` root @ kali:~ # redis-CLI-h 192.168.10.212
redis 192.168.10.212:6379 & gt;鑰匙*
(錯誤)不允許錯誤操作
redis 192.168.10.212:6379 & gt;auth @nsF0cus!@#
好的
(四)設立單獨賬戶
建立壹個單獨的redis賬戶:創建壹個redis賬戶,通過這個賬戶啟動。例子如下:
` setsidsudo-u redis/usr/bin/redis-server/etc/redis/redis . conf ' '
(5)重命名重要命令
因為redis不做基本的權限分離,沒有管理賬號和普通賬號的區分,攻擊者登錄後可以進行任意操作,所以需要隱藏重要的命令,比如:flushdb,flushallkeys,p expire,del,config,shutdown,bgrewrite of,bgsave,save,spop,srem,rename,debug,eval '。
其中,在redis2.8.1和Redis Redis 3.x(
`重命名-命令配置""
重命名-命令flushall " "
重命名-命令flushdb " "
rename-命令shut down shut down _ dvwa ` s
上面的配置將config,flushdb,flushall設置為null,即命令被禁用,我們還可以說出壹些攻擊者很難猜到但我們很容易記住的名字。保存後,執行/etc/init . d/redis-server restart即可生效。