上面的朋友回答的挺全面的,主要从以下方面入手:
1、权限管理层面:
(1)建议禁止root账户执行应用,使用linux nobody启动redis服务
(2)禁用危险命令:
rename-command FLUSHALL ""
rename-command FLUSHDB ""
rename-command CONFIG ""
rename-command KEYS ""
2、账户管理层面:
设置密码访问,比方:requirepass "password"或 >CONFIG set requirepass "password"
3、网络配置层面:
(1)禁止外网访问,bind 指定ip
(2)更改port值,建议采用不常用的端口地址
4、应用本身层面:
关注与redis应用相关的组件漏洞,并及时打补丁
5、其他相关层面
收起redis有两种安全策略方式,一是限制访问ip,二是设置用户名、密码;
注:由于Redis的性能极高,并且输入错误密码后Redis并不会进行主动延迟(考虑到Redis的单线程模型),所以攻击者可以通过穷举法破解Redis的密码(1秒内能够尝试十几万个密码),因此在设置时一定要选择复杂的密码。
配置Redis复制的时候如果主数据库设置了密码,需要在从数据库的配置文件中通过masterauth参数设置主数据库的密码,以使从数据库连接主数据库时自动使用AUTH命令认证。
不太清楚15年redis大面积入侵的事情呢
收起