Redis未授权访问防范漏洞启航（redis未授权访问服务）

Redis未授权访问：防范漏洞启航

随着互联网技术的不断发展，Web应用程序已成为了大量的在线服务的基础。而Redis作为一种开源的高性能Key-Value数据库，已经被广泛地应用于各种互联网应用程序中。然而，如果在Redis配置不当的情况下，Hackers 可以利用Redis未授权访问漏洞，轻易地操纵数据库中的数据，进行任意读写操作。因此，我们需要防范Redis未授权访问漏洞，保障我们的数据库不被黑客攻击。

Redis未授权漏洞是什么？

Redis在默认情况下不需要口令认证，也不会做任何用户授权实现。由于Redis默认监听了TCP端口6379并且不进行任何安全性检测，攻击者可以通过该端口直接访问Redis数据库，获取或篡改数据库信息。为了实现更安全的Redis服务，需要禁止未授权访问，实现用户授权访问。

防范Redis未授权漏洞的方法

禁止访问默认端口

最直接的防范措施是更改Redis服务的默认端口。由于Redis监听默认的6379端口，而且该端口会被网络扫描器定期扫描监测，所以必须修改默认端口给攻击者制造障碍。我们可以通过修改Redis配置文件redis.conf中的port选项来修改Redis端口号，例如将redis服务器的端口改为6380端口：

port 6380

开启认证

为Redis服务器开启认证可以有效地防范未授权访问。在redis.conf中，我们可以修改requirepasword选项，设置认证密码。当然，我们需要确保该密码长、复杂并且易于记忆：

requirepass yourpassword

认证之后，redis-cli将会提示我们输入密码才允许使用Redis各种命令。

绑定地址

当Redis服务运行在虚拟机、云环境中时，若将其开发为公网暴露的口，就可能引起各种风险问题。为了避免风险造成损失，我们可以设置Redis配置文件中的bind选项，将Redis服务绑定到本机IP地址。如果我们希望Redis提供服务的主机为127.0.0.1，就可以在redis.conf中加入以下配置：

bind 127.0.0.1

使用防火墙

为防止攻击者绕过Redis所在防火墙进行攻击，我们应当设定redis对应的端口6379或其他非默认端口的入口规则。限制所有外部（Internet）访问的地址，只允许指定的IP或网段的机器访问Redis。可以用如下命令实现：

#允许10.0.0.0/8网段访问

iptables -I INPUT -s 10.0.0.0/8 -p tcp -m state –state NEW -m tcp –dport 6379 -j ACCEPT

#禁止其它地址访问

iptables -I INPUT -p tcp -m state –state NEW -m tcp –dport 6379 -j DROP

总结

对于互联网应用程序而言，Redis作为一种高性能数据存储方案，在应用中被广泛应用。然而，安全风险也同样重要。本文主要介绍了如何防范Redis未授权访问漏洞。为了避免安全风险和损失，我们可以修改Redis的默认端口，设置认证密码和绑定地址，同时使用防火墙进行进一步的保障。希望这些方法对大家的应用开发和维护能够有所帮助。

参考资料:

1. Redis未授权访问漏洞分析及解决方案： https://www.ibm.com/developerworks/cn/web/1506_wangyf_redissecurity/

2. Redis 安全性问题：防范Redis未授权访问漏洞：http://www.cnblogs.com/LinuxBug/p/redis_safe.html

3. Redis性能+安全：客户端连接授权：http://blog.jobbole.com/106399/

4. 如何使用iptables保护 Redis 数据库服务: https://www.ibm.com/developerworks/cn/linux/l-redis-iptables/index.html