Redis未授权访问漏洞修复加固

Posted 越滚越大雪球

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Redis未授权访问漏洞修复加固相关的知识,希望对你有一定的参考价值。

加固修复建议

  1. 设置密码访问认证,可通过修改redis.conf配置文件中的"requirepass" 设置复杂密码 (需要重启Redis服务才能生效);
  2.  对访问源IP进行访问控制,可在防火墙限定指定源ip才可以连接Redis服务器;
  3. 禁用config指令避免恶意操作,在Redis配置文件redis.conf中配置rename-command项"RENAME_CONFIG",这样即使存在未授权访问,也能够给攻击者使用config 指令加大难度;
  4. Redis使用普通用户权限,禁止使用 root 权限启动Redis 服务,这样可以保证在存在漏洞的情况下攻击者也只能获取到普通用户权限,无法获取root权限;

以上是关于Redis未授权访问漏洞修复加固的主要内容,如果未能解决你的问题,请参考以下文章

Hadoop 未授权访问原理扫描及Apache Hadoop YARN 资源管理器 REST API未授权访问漏洞原理扫描修复记录

2022-10-08(Discuz漏洞FCKeditor文本编辑器漏洞ZooKeeper 未授权访问Memcahe 未授权访问)

Rsync未授权访问漏洞的修复

Elasticsearch 未授权访问漏洞修复

SpringBoot Actuator未授权访问漏洞修复

redis未授权漏洞介绍和复现