加固修復建議
- 設置密碼訪問認證,可通過修改redis.conf配置文件中的"requirepass" 設置復雜密碼 (需要重啟Redis服務才能生效);
- 對訪問源IP進行訪問控制,可在防火牆限定指定源ip才可以連接Redis服務器;
- 禁用config指令避免惡意操作,在Redis配置文件redis.conf中配置rename-command項"RENAME_CONFIG",這樣即使存在未授權訪問,也能夠給攻擊者使用config 指令加大難度;
- Redis使用普通用戶權限,禁止使用 root 權限啟動Redis 服務,這樣可以保證在存在漏洞的情況下攻擊者也只能獲取到普通用戶權限,無法獲取root權限;
-
redis.conf配置信息如下:
bind 127.0.0.1 #設置為綁定本地IP地址 rename-command config "" rename-command flushall "" rename-command flushdb "" rename-command eval "" requirepass XXXXXXX #設置密碼