新闻资讯  快讯  焦点  财经  政策  社会
互 联 网   电商  金融  数据  计算  技巧
生活百科  科技  职场  健康  法律  汽车
手机百科  知识  软件  修理  测评  微信
软件技术  应用  系统  图像  视频  经验
硬件技术  知识  技术  测评  选购  维修
网络技术  硬件  软件  设置  安全  技术
程序开发  语言  移动  数据  开源  百科
安全防护  资讯  黑客  木马  病毒  移动
站长技术  搜索  SEO  推广  媒体  移动
财经百科  股票  知识  理财  财务  金融
教育考试  育儿  小学  高考  考研  留学
您当前的位置:首页 > IT百科 > 数据库 > Redis

详解Redis缓存安全加固

时间:2019-06-11 10:13:38  来源:  作者:

概述

在众多开源缓存技术中,redis无疑是目前功能最为强大,应用最多的缓存技术之一,参考2019年6月国外数据库技术权威网站DB-Engines关于key-value数据库流行度排名,Redis暂列第一位,但是原生Redis版本在安全方面非常薄弱,很多地方不满足安全要求,如果暴露在公网上,极易受到恶意攻击,导致数据泄露和丢失。

详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 

所以今天主要从redis的合法监听接口,未公开接口,访问通道控制来介绍Redis缓存数据库加固措施。


01

合法监听接口

1、端口使用非默认端口

安全问题:Redis Server监听的端口默认为6379,容易被扫描攻击。

解决方案:修改为非默认端口,并在端口矩阵中说明。

2、监听地址不允许包括*

安全问题:Redis支持监听0.0.0.0。

解决方案:因为如果有多网卡,应该将监听地址设置为只有数据库客户端需要连接的网卡地址。如果只允许本机访问,应该只监听127.0.0.1。

详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 

3、隐蔽的RedisCluster端口

安全问题:官方RedisCluster方案缺省会增加一个集群端口,且是在客户端端口偏移10000,这个问题非常隐蔽。

解决方案:在端口矩阵中对额外的这个集群端口有说明。修改源码,新增一个redis.conf偏移量配置项cluster-port-increment,缺省配置+1,这样可以做到端口范围可控,避免冲突。

 


02

未公开接口

1、账号管理(重要)

安全问题:Redis只有一个超户,权限过大。

解决方案:权限最小化原则,增加配置项,角色区分超户,普通用户和只读用户三种。

详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 

普通用户不能进行的操作有:

详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 


详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 

2、Redis-cli隐藏密码

安全问题:通过在redis-cli指定-a参数,密码会被ps出来,属于敏感信息。

详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 

解决方案:修改Redis源码,在main进入后,立即隐藏掉密码,避免被ps出来。

3、禁止在脚本中通过sudo方式切换用户执行redis-cli

安全问题: redis-cli访问参数带密码敏感信息,会被ps出来,也容易被系统记录操作日志。

解决方案:改为通过API方式(Python可以使用redis-py)来安全访问,禁止通过sudo方式切换到dbuser账号使用redis-cli。

重现条件:可以通过iptables禁掉redis端口来模拟重现。


03

访问通道控制

1、预共享秘钥认证(重要)

安全问题:Redis原生认证存在重放攻击:只是简单的交互一次auth xxx

解决方案:采用预共享秘钥(对称加密算法+随机数的双向认证),同时在方案设计上做到最大限度兼容,让客户端改造成本最小,目前平台配套目前支持客户端有:JAVA,Python,C,Lua。

方案设计如下:

Redis认证协议变更,其中auth命令区分两种功能,通过首字母区分:

详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 

预共享秘钥认证时序图

详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 

说明:Redis为文本协议, 安全随机数长度固定为32字节的可显示字符串,连接2个随机数的分隔符为”@”。

主要认证流程:

1.客户端向服务端执行命令: auth <RAND_C

1) 首字母<表示是认证第一阶段。(便于服务端从协议层区分)

2) RAND_C表示客户端生成安全随机数。

2.服务端产生响应错误回复

1) 获取RAND_C,并生成RAND_S

2) 产生TokenBA=AES128(RAND_S@RAND_C)

3) 响应错误回复:-ERR >TokenBA

说明:错误描述为服务端生成的安全随机数。

3.客户端验证

1) 验证TokenBA是否合法

解密出RAND_S@RAND_C,看看RAND_C是否是自己生成的随机数

2) 客户端产生TokenAB=AES128(RAND_C@RAND_S@dbname@ossdbuser@pwd)

3) 调用认证接口: auth >TokenAB

4.服务端认证

1) 验证TokenAB是否合法

解密出RAND_C@RAND_S,看看RAND_S是否是自己生成的随机数

2) 验证用户和密码合法性: dbname@ossdbuser@pwd

2、认证时加上库名

安全问题:Redis没有库名,系统如果只通过用户名+密码,容易猜测和攻击。

解决方案:通过认证时带上库名, 因为每个服务的库名都配置不同,增加攻击复杂度, 认证格式以dbname@dbuser@pwd区分。

3、端口矩阵

安全问题:Redis也是一种数据库服务,一般一个进程占用一个端口,集群还会额外多占用一个端口。

解决方案:在端口矩阵写明系统申请的Redis端口范围。

4、支持SSL通信

安全问题:增加SSL通信可以提高数据传输的安全。

解决方案:

1.不改动官方源码,通过在客户端和服务端部署SSL Proxy,类似stunnel。

2.支持SSL可配置,涉及开源代码修改。

说明:因为Redis属于交互密集型,每秒处理几万次请求,支持SSL后性能会有比较大损失。

5、支持ACL控制

安全问题:目前Redis没有ACL控制。

解决方案:

1. 目前基于平台共享秘钥,其中秘钥是随机生成,每套系统不一样,间接也做到了IP范围控制。

2. 通过iptables控制进一步限制接入IP范围。

3. 如果要具体控制到用户+IP级别,类似MySQL认证。redis开发作者antirez已经意识到这个问题,有望在未来版本提供。
 



Tags:Redis   点击:()  评论:()
声明:本站部分内容来自互联网,内容观点仅代表作者本人,如有任何版权侵犯请与我们联系,我们将立即删除。
▌相关评论
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
▌相关推荐
常用的 SQL 数据库的数据都是存在磁盘中的,虽然在数据库底层也做了对应的缓存来减少数据库的 IO 压力。 图片来自 Pexels由于数据库的缓存一般是针对查询的内容,而且粒度也...【详细内容】
2019-11-27   Redis  点击:(0)  评论:(0)  加入收藏
概念:Redis是用C语言开发的一个开源的高性能键值对数据库。特征: 数据间没有必然的联系 内部采用单线程机制进行工作 高性能 多数据类型支持字符串类型 String列表类型 List散...【详细内容】
2019-11-27   Redis  点击:(0)  评论:(0)  加入收藏
本文实例讲述了php+redis实现注册、删除、编辑、分页、登录、关注等功能。分享给大家供大家参考,具体如下:主要界面 连接redisredis.php<?php //实例化 $redis = new Redis();...【详细内容】
2019-11-26   Redis  点击:(1)  评论:(0)  加入收藏
客户端的连接的建立Redis通过在TCP端口上进行监听,或者Unix socket(如果启用)的方式来接受客户端的连接。当一个新的客户端连接被接受执行以下操作: 当Redis使用非阻塞I/O复用,...【详细内容】
2019-11-25   Redis  点击:(2)  评论:(0)  加入收藏
最近忙于业务开发、交接和游戏,加上碰上了不定时出现的犹豫期和困惑期,荒废学业了一段时间。天冷了,要重新拾起开始下阶段的学习了。之前接触到的一些数据搜索项目,涉及到请求模...【详细内容】
2019-11-22   Redis  点击:(5)  评论:(0)  加入收藏
MVC模式(Model-View-Controller)是软件工程中的一种软件架构模式,把软件系统分为三个基本部分:模型(Model)、视图(View)和控制器(Controller)。...【详细内容】
2019-11-22   Redis  点击:(8)  评论:(0)  加入收藏
一、项目介绍Rotter是禧云自主研发的跨机房Redis双向同步解决方案(下文简称为方案),具有零侵入、高吞吐量、低延时、高堆积能力等特点。当前版本支持Sentinel模式和单点模式Red...【详细内容】
2019-11-20   Redis  点击:(5)  评论:(0)  加入收藏
适合的读者:初级程序员前言虽然现在大多数后端服务都是部署在linux服务器上的,代码开发工作很多人是在windows下进行的,由于redis官方没有windows下的版本,所以大家第一次使用的...【详细内容】
2019-11-15   Redis  点击:(6)  评论:(0)  加入收藏
Redis以内存数据库而闻名。但是,某些系统将它用作消息队列管理工具。Pub/Sub 和 RPOPLPUSH 是用于实现这样一个系统的两组命令。在这篇文章中,我将分享一些关于这两个命令集的...【详细内容】
2019-11-14   Redis  点击:(4)  评论:(0)  加入收藏
压缩列表ziplist的zset内部有两种存储结构,一种是ziplist,另一种是跳跃列表skiplist。为了彻底理解zset的内部结构,我们就再来介绍一下skiplist。skiplist介绍顾名思义,skiplist...【详细内容】
2019-11-13   Redis  点击:(10)  评论:(0)  加入收藏
Jedis api 在线网址:http://tool.oschina.net/uploads/apidocs/redis/clients/jedis/Jedis.htmlredisson 官网地址:https://redisson.org/redisson git项目地址:https://githu...【详细内容】
2019-11-11   Redis  点击:(38)  评论:(0)  加入收藏
一、Redis简介Redis是一个开源的使用ANSI C语言编写的Key-Value数据库,是一种应用非常广泛的NoSQL数据库,性能极高,拥有出色的读写速度,适用性非常的广。因此也被广泛应用在中大...【详细内容】
2019-11-01   Redis  点击:(11)  评论:(0)  加入收藏
1、系统架构 2、服务器情况 服务器 1:nginx(80)、redis(6379) 服务器 2:tomcat1(8080)、tomcat2(8080) 服务器 3:mysql(3306)3、Nginx 主要配置http { ...... upstream tomcat { ip_hash;...【详细内容】
2019-10-30   Redis  点击:(14)  评论:(0)  加入收藏
redis在现在的系统中用的越来越多了,分布式锁,缓存,附近的人,排行榜,简易版的消息队列,发布订阅等。redis中有很多命令,每个命令又有很多参数,如果让我们全部记住很不现实,今天就推...【详细内容】
2019-10-30   Redis  点击:(11)  评论:(0)  加入收藏
Redis支持主从复制功能,用户可以通过执行slaveof命令或者在配置文件中设置slaveof选项来开启复制功能。例如,现在有两台服务器—127.0.0.1:6379和127.0.0.1:7000,向服务器...【详细内容】
2019-10-28   Redis  点击:(11)  评论:(0)  加入收藏
redis存储类型主要提供了5种数据结构:字符串(String)、哈希(hash)、列表(list)、集合(set)、有序集合(short set);redis底层实现的8种数据结构SDS simple synamic string:支持自...【详细内容】
2019-10-28   Redis  点击:(12)  评论:(0)  加入收藏
Redis简介1. 支持5种数据结构支持strings, hashes, lists, sets, sorted setsstring是很好的存储方式,用来做计数存储。sets用于建立索引库非常棒;2. K-V 存储 vs K-V 缓存新...【详细内容】
2019-10-25   Redis  点击:(24)  评论:(0)  加入收藏
Redis时延问题分析及应对Redis的事件循环在一个线程中处理,作为一个单线程程序,重要的是要保证事件处理的时延短,这样,事件循环中的后续任务才不会阻塞;当redis的数据量达到一定...【详细内容】
2019-10-24   Redis  点击:(12)  评论:(0)  加入收藏
黑客"实战"内容之Redis未授权访问漏洞复现Redis是一种开源的,内存中的数据结构存储系统,可用作数据库,消息代理或缓存。由于它是在在受信任的环境中访问,因此不应在Internet上公...【详细内容】
2019-10-24   Redis  点击:(15)  评论:(0)  加入收藏
最近对redis使用较为频繁,各项配置已经不太熟练,结合各位大佬分享的配置,整理一篇笔记,方便查询。1.基础参数配置# 是否在后台执行,yes:后台运行;no:不是后台运行(老版本默认)daemoniz...【详细内容】
2019-10-23   Redis  点击:(10)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条