您当前的位置:首页 > 电脑百科 > 数据库 > Redis

详解Redis缓存安全加固

时间:2019-06-11 10:13:38  来源:  作者:

概述

在众多开源缓存技术中,redis无疑是目前功能最为强大,应用最多的缓存技术之一,参考2019年6月国外数据库技术权威网站DB-Engines关于key-value数据库流行度排名,Redis暂列第一位,但是原生Redis版本在安全方面非常薄弱,很多地方不满足安全要求,如果暴露在公网上,极易受到恶意攻击,导致数据泄露和丢失。

详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 

所以今天主要从redis的合法监听接口,未公开接口,访问通道控制来介绍Redis缓存数据库加固措施。


01

合法监听接口

1、端口使用非默认端口

安全问题:Redis Server监听的端口默认为6379,容易被扫描攻击。

解决方案:修改为非默认端口,并在端口矩阵中说明。

2、监听地址不允许包括*

安全问题:Redis支持监听0.0.0.0。

解决方案:因为如果有多网卡,应该将监听地址设置为只有数据库客户端需要连接的网卡地址。如果只允许本机访问,应该只监听127.0.0.1。

详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 

3、隐蔽的RedisCluster端口

安全问题:官方RedisCluster方案缺省会增加一个集群端口,且是在客户端端口偏移10000,这个问题非常隐蔽。

解决方案:在端口矩阵中对额外的这个集群端口有说明。修改源码,新增一个redis.conf偏移量配置项cluster-port-increment,缺省配置+1,这样可以做到端口范围可控,避免冲突。

 


02

未公开接口

1、账号管理(重要)

安全问题:Redis只有一个超户,权限过大。

解决方案:权限最小化原则,增加配置项,角色区分超户,普通用户和只读用户三种。

详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 

普通用户不能进行的操作有:

详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 


详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 

2、Redis-cli隐藏密码

安全问题:通过在redis-cli指定-a参数,密码会被ps出来,属于敏感信息。

详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 

解决方案:修改Redis源码,在main进入后,立即隐藏掉密码,避免被ps出来。

3、禁止在脚本中通过sudo方式切换用户执行redis-cli

安全问题: redis-cli访问参数带密码敏感信息,会被ps出来,也容易被系统记录操作日志。

解决方案:改为通过API方式(Python可以使用redis-py)来安全访问,禁止通过sudo方式切换到dbuser账号使用redis-cli。

重现条件:可以通过iptables禁掉redis端口来模拟重现。


03

访问通道控制

1、预共享秘钥认证(重要)

安全问题:Redis原生认证存在重放攻击:只是简单的交互一次auth xxx

解决方案:采用预共享秘钥(对称加密算法+随机数的双向认证),同时在方案设计上做到最大限度兼容,让客户端改造成本最小,目前平台配套目前支持客户端有:JAVA,Python,C,Lua。

方案设计如下:

Redis认证协议变更,其中auth命令区分两种功能,通过首字母区分:

详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 

预共享秘钥认证时序图

详解Redis缓存安全加固-合法监听接口,未公开接口,访问通道控制

 

说明:Redis为文本协议, 安全随机数长度固定为32字节的可显示字符串,连接2个随机数的分隔符为”@”。

主要认证流程:

1.客户端向服务端执行命令: auth <RAND_C

1) 首字母<表示是认证第一阶段。(便于服务端从协议层区分)

2) RAND_C表示客户端生成安全随机数。

2.服务端产生响应错误回复

1) 获取RAND_C,并生成RAND_S

2) 产生TokenBA=AES128(RAND_S@RAND_C)

3) 响应错误回复:-ERR >TokenBA

说明:错误描述为服务端生成的安全随机数。

3.客户端验证

1) 验证TokenBA是否合法

解密出RAND_S@RAND_C,看看RAND_C是否是自己生成的随机数

2) 客户端产生TokenAB=AES128(RAND_C@RAND_S@dbname@ossdbuser@pwd)

3) 调用认证接口: auth >TokenAB

4.服务端认证

1) 验证TokenAB是否合法

解密出RAND_C@RAND_S,看看RAND_S是否是自己生成的随机数

2) 验证用户和密码合法性: dbname@ossdbuser@pwd

2、认证时加上库名

安全问题:Redis没有库名,系统如果只通过用户名+密码,容易猜测和攻击。

解决方案:通过认证时带上库名, 因为每个服务的库名都配置不同,增加攻击复杂度, 认证格式以dbname@dbuser@pwd区分。

3、端口矩阵

安全问题:Redis也是一种数据库服务,一般一个进程占用一个端口,集群还会额外多占用一个端口。

解决方案:在端口矩阵写明系统申请的Redis端口范围。

4、支持SSL通信

安全问题:增加SSL通信可以提高数据传输的安全。

解决方案:

1.不改动官方源码,通过在客户端和服务端部署SSL Proxy,类似stunnel。

2.支持SSL可配置,涉及开源代码修改。

说明:因为Redis属于交互密集型,每秒处理几万次请求,支持SSL后性能会有比较大损失。

5、支持ACL控制

安全问题:目前Redis没有ACL控制。

解决方案:

1. 目前基于平台共享秘钥,其中秘钥是随机生成,每套系统不一样,间接也做到了IP范围控制。

2. 通过iptables控制进一步限制接入IP范围。

3. 如果要具体控制到用户+IP级别,类似MySQL认证。redis开发作者antirez已经意识到这个问题,有望在未来版本提供。
 



Tags:Redis   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
来源: my.oschina.net/xiaomu0082/blog/2990388首先说下问题现象:内网sandbox环境API持续1周出现应用卡死,所有api无响应现象刚开始当测试抱怨环境响应慢的时候 ,我们重启一下应...【详细内容】
2021-12-08  Tags: Redis  点击:(18)  评论:(0)  加入收藏
我不知道为什么你会选择对特定数量的“错误”(或警告)如此具体。听起来您正在寻找将要发布到 Yahoo! 的某些文章的内容。 Insider (N Foos to Blah for the BlahBlah)。那说:...【详细内容】
2021-12-07  Tags: Redis  点击:(14)  评论:(0)  加入收藏
目录 一、背景 二、步骤 0.理论支持 1、获取数据 2、结果 3、分析数据并评估大小 三、关于repl-backlog-size 一、背景 repl-backlog-size控制这个环形缓冲区. ​ 主从断...【详细内容】
2021-11-05  Tags: Redis  点击:(41)  评论:(0)  加入收藏
Redis 性能测试是通过同时执行多个命令实现的。1,Redis-benchmarkRedis性能命令:redis性能命令格式: redis-benchmark [option] [option value] redis 性能测试工具可选参数如...【详细内容】
2021-11-02  Tags: Redis  点击:(41)  评论:(0)  加入收藏
1 概述数据结构和内部编码 无传统关系型数据库的 Table 模型schema 所对应的db仅以编号区分。同一 db 内,key 作为顶层模型,它的值是扁平化的。即 db 就是key的命名空间。 key...【详细内容】
2021-11-01  Tags: Redis  点击:(28)  评论:(0)  加入收藏
普通java中使用引用Java redis 驱动,即可连接:import redis.clients.jedis.Jedis; public class RedisTestJava { public static void main(String[] args) { //连...【详细内容】
2021-10-13  Tags: Redis  点击:(34)  评论:(0)  加入收藏
Redis常用的数据结构有 string list set zset hashstringstring 是 Redis 的基本的数据类型,一个 key 对应一个 value。string 类型是二进制安全的,Redis的string可以包含任...【详细内容】
2021-10-12  Tags: Redis  点击:(36)  评论:(0)  加入收藏
列表类型可以存储一组按插入顺序排序的字符串,它非常灵活,支持在两端插入、弹出数据,可以充当栈和队列的角色。> LPUSH fruit apple(integer) 1> RPUSH fruit banana(integer)...【详细内容】
2021-09-17  Tags: Redis  点击:(54)  评论:(0)  加入收藏
Redis持久化意义 是做灾难恢复,数据恢复,也可以归类到高可用的一个环节里面去,比如你的redis整个挂了,然后redis就不可用了,你要做的事情是让redis变得可用,尽快变得可用 大量的请...【详细内容】
2021-08-12  Tags: Redis  点击:(77)  评论:(0)  加入收藏
Nginx来限制访问控制的方法有多种,nginx主要有2个模块控制,但是那些不支持自定义,非常死,在大多数场景下并不实用。今天分享一个:利用openresty+lua+redis 实现封杀频繁恶意访问I...【详细内容】
2021-08-12  Tags: Redis  点击:(119)  评论:(0)  加入收藏
▌简易百科推荐
来源: my.oschina.net/xiaomu0082/blog/2990388首先说下问题现象:内网sandbox环境API持续1周出现应用卡死,所有api无响应现象刚开始当测试抱怨环境响应慢的时候 ,我们重启一下应...【详细内容】
2021-12-08  Java识堂    Tags:Redis   点击:(18)  评论:(0)  加入收藏
我不知道为什么你会选择对特定数量的“错误”(或警告)如此具体。听起来您正在寻找将要发布到 Yahoo! 的某些文章的内容。 Insider (N Foos to Blah for the BlahBlah)。那说:...【详细内容】
2021-12-07  富集云科技有限公司    Tags:Redis   点击:(14)  评论:(0)  加入收藏
目录 一、背景 二、步骤 0.理论支持 1、获取数据 2、结果 3、分析数据并评估大小 三、关于repl-backlog-size 一、背景 repl-backlog-size控制这个环形缓冲区. ​ 主从断...【详细内容】
2021-11-05  弈秋的美好生活    Tags:redis   点击:(41)  评论:(0)  加入收藏
Redis 性能测试是通过同时执行多个命令实现的。1,Redis-benchmarkRedis性能命令:redis性能命令格式: redis-benchmark [option] [option value] redis 性能测试工具可选参数如...【详细内容】
2021-11-02  川石信息    Tags:Redis   点击:(41)  评论:(0)  加入收藏
1 概述数据结构和内部编码 无传统关系型数据库的 Table 模型schema 所对应的db仅以编号区分。同一 db 内,key 作为顶层模型,它的值是扁平化的。即 db 就是key的命名空间。 key...【详细内容】
2021-11-01  JavaEdge    Tags:Redis   点击:(28)  评论:(0)  加入收藏
普通java中使用引用Java redis 驱动,即可连接:import redis.clients.jedis.Jedis; public class RedisTestJava { public static void main(String[] args) { //连...【详细内容】
2021-10-13  faesuite    Tags:Redis   点击:(34)  评论:(0)  加入收藏
Redis常用的数据结构有 string list set zset hashstringstring 是 Redis 的基本的数据类型,一个 key 对应一个 value。string 类型是二进制安全的,Redis的string可以包含任...【详细内容】
2021-10-12  语霖    Tags:Redis   点击:(36)  评论:(0)  加入收藏
列表类型可以存储一组按插入顺序排序的字符串,它非常灵活,支持在两端插入、弹出数据,可以充当栈和队列的角色。> LPUSH fruit apple(integer) 1> RPUSH fruit banana(integer)...【详细内容】
2021-09-17  深夜敲代码    Tags:Redis   点击:(54)  评论:(0)  加入收藏
Redis持久化意义 是做灾难恢复,数据恢复,也可以归类到高可用的一个环节里面去,比如你的redis整个挂了,然后redis就不可用了,你要做的事情是让redis变得可用,尽快变得可用 大量的请...【详细内容】
2021-08-12  小李说IT    Tags:Redis   点击:(77)  评论:(0)  加入收藏
当查询Redis中没有的数据时,该查询会下沉到数据库层,同时数据库层也没有该数据,当这种情况大量出现或被恶意攻击时,接口的访问全部透过Redis访问数据库,而数据库中也没有这些数据...【详细内容】
2021-07-30  随便t    Tags:缓存穿透   点击:(91)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条