加固修复建议
- 设置密码访问认证,可通过修改redis.conf配置文件中的"requirepass" 设置复杂密码 (需要重启Redis服务才能生效);
- 对访问源IP进行访问控制,可在防火墙限定指定源ip才可以连接Redis服务器;
- 禁用config指令避免恶意操作,在Redis配置文件redis.conf中配置rename-command项"RENAME_CONFIG",这样即使存在未授权访问,也能够给攻击者使用config 指令加大难度;
- Redis使用普通用户权限,禁止使用 root 权限启动Redis 服务,这样可以保证在存在漏洞的情况下攻击者也只能获取到普通用户权限,无法获取root权限;
-
redis.conf配置信息如下:
bind 127.0.0.1 #设置为绑定本地IP地址 rename-command config "" rename-command flushall "" rename-command flushdb "" rename-command eval "" requirepass XXXXXXX #设置密码