V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ciki
V2EX  ›  服务器

redis 的 6379 端口有没有什么办法能安全开放?

  •  
  •   ciki · 2021-05-29 20:33:46 +08:00 · 1615 次点击
    这是一个创建于 1309 天前的主题,其中的信息可能已经有所发展或是发生改变。
    设置了密码也没用,直接被攻击注入挖矿程序了
    6 条回复    2021-06-30 14:36:01 +08:00
    zilongzixue
        1
    zilongzixue  
       2021-05-31 10:33:14 +08:00
    换个启动端口啊
    ly4572615
        2
    ly4572615  
       2021-06-01 11:27:23 +08:00
    为啥密码没用,设置一个够长够复杂的
    youzengwei
        3
    youzengwei  
       2021-06-01 16:42:13 +08:00
    防火墙白名单访问啊
    opengps
        4
    opengps  
       2021-06-01 20:08:14 +08:00
    公网需要开发的后端服务都最好是配合 IP 白名单
    LLaMA2
        5
    LLaMA2  
       2021-06-02 17:56:10 +08:00
    第一准则就是限制外网访问,
    如果需要外网访问可以在防火墙上对指定 IP 开放,没有防火墙的请使用 wireguard 做隧道,然后通过隧道的内网地址访问
    巡查系统有没有被放置可以远程登录的 ssh 证书
    限制 redis 端口错误登录的频率
    记录各种可能被暴力猜解的服务的并限制频率,同时需要适当的告警机制
    有条件的先格式化机器,重新设置 redis
    使用非 root 用户启动 redis
    Hardrain
        6
    Hardrain  
       2021-06-30 14:36:01 +08:00
    https://redis.io/topics/security

    第一条就是不要暴露在互联网上(bind 127.0.0.1)

    如果不能做到这一条

    考虑 rename 掉 config 命令,攻击者爆破密码登入后,用这个命令关闭 rdb 的压缩再修改 rdb 存储的位置,配合以会忽略无意义内容的脚本语言(如 php 忽略<?php ?>以外的内容,将其直接输出)便可以开个反弹代理然后完成挂马.

    drop privilege(用低权限用户运行)也能阻止上面所述的挂马手段.

    以上两种方法能一定程度防止攻击者利用 redis 挂马,但不能防止 redis 中的信息泄露.
    使用 SSL 并验证客户端证书能对抗暴力破解,攻击者无法登入 redis,自然不存在信息泄露隐患
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2817 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 13:17 · PVG 21:17 · LAX 05:17 · JFK 08:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.