Redis 未授权访问漏洞【原理扫描】修复方法 本是古典 何须时尚 2022-05-30 12:08 1205阅读 0赞 漏洞类型 主机漏洞 **漏洞名称/检查项** Redis 配置不当可直接导致服务器被控制【原理扫描】 **漏洞名称/检查项** Redis 未授权访问漏洞【原理扫描】 **加固建议** 防止这个漏洞需要修复以下三处问题 第一: 修改redis绑定的IP 如果只在本机使用redis服务那么只要绑定127.0.0.1 如果其他主机需要访问redis服务那么只绑定客户主机所在网络的接口 最好不要绑定0.0.0.0 另外需要通过主机内置的防火墙如iptables,或者其他外置防火墙禁止非业务主机访问redis服务 第二: 设置访问密码 在 redis.conf 中找到“requirepass”字段,取消注释并在后面填上你需要的密码。 注:修改redis的配置需要重启redis才能生效。 第三: 使用普通用户启动redis,并且禁止该用户启动shell,禁止使用root用户启动redis。 **漏洞描述** redis端口对外开放并且没有配置认证选项,并且以root权限运行,未授权用户可直接覆盖/root/.ssh/authorized\_keys 上传公钥直接用root账号登陆ssh服务器。 **漏洞修复解决:redis 设置认证密码** 为redis设置密码:设置客户端连接后进行任何其他指定前需要实用的密码。 警告:因为redis速度非常快,所以在一台较好的服务器下,一个外部用户可以在一秒钟进行150k次的密码尝试,这意味着你需要指定非常非常强大的密码来防止暴力破解。 **修改密码的方法:** 1、只需要在redis的配置文件redis.conf中开启requirepass就可以了。 cd /home/hgaop/test/redis-2.8.19/ vim redis.conf --找到下面这行,把注释去掉, requirepass后面填写需要修改的密码 requirepass mypassword **2、重启redis** ps -ef |grep redis kill -9 13224 -- **杀死redis进程** ps -ef |grep redis --确认杀死 ./redis-server ../redis.conf --重启redis,指定配置文件 ps -ef |grep redis root 9309 1 0 15:22 ? 00:00:00 ./redis-server \*:6379 root 9727 8627 0 15:28 pts/1 00:00:00 grep redis /redis-cli -h 127.0.0.1 -p 6379 --不用密码登录测试 127.0.0.1:6379> keys \* (error) NOAUTH Authentication required. --拒绝操作 ./redis-cli -h 127.0.0.1 -p 6379 -a xxx@68 --加-a用密码登录 127.0.0.1:6379> select 1 OK --修复成功
还没有评论,来说两句吧...