关于redis未授权访问说法不正确的是

Posted 2023-03-28

关于Redis未授权访问，以下说法是不正确的：
说法：Redis默认不允许未授权访问，只有在配置文件中明确设置了bind参数为0.0.0.0才会存在未授权访问的风险。
事实：实际上，Redis默认是没有开启认证机制的，也就是说任何人都可以访问Redis服务器。只要知道Redis服务器的IP地址和端口号，就可以直接连接到Redis服务器，并进行任意操作，包括读写数据、执行命令等。因此，如果不对Redis进行安全配置，就会存在未授权访问的风险。
为了避免未授权访问，建议对Redis进行安全配置，包括设置密码认证、限制IP访问等措施，以保障Redis的安全。 参考技术A 关于Redis未授权访问的说法不正确的是：Redis未授权访问是一种安全风险，而不是一种安全特性。

如果Redis没有做任何授权限制，那么任何人都可以通过访问Redis的默认端口（6379）直接连接并操作Redis服务器。这意味着攻击者可以利用此漏洞获取敏感数据、篡改数据或执行其他恶意行为。

因此，Redis开发者强烈建议对Redis服务器进行安全配置和身份验证，以确保只有被授权的用户才能访问和操作Redis。这包括限制Redis服务器的访问IP地址和端口、设置访问密码、使用SSL/TLS加密传输数据等等。 参考技术B 关于redis未授权访问，以下说法是不正确的：

"Redis默认没有密码，所以只要知道IP和端口号，就可以访问Redis并执行任意操作。"

事实上，从版本2.6.0开始，Redis已经加入了认证机制，可以设置和使用密码来保护Redis实例的访问。在配置文件中可以设置密码，也可以在运行时使用AUTH命令进行认证。因此，即使知道IP和端口，未经过认证的访问者也无法执行任意操作。但是，如果管理员没有设置密码或者密码太弱，仍然存在未授权访问的风险。 参考技术C 关于Redis未授权访问的说法不正确是指它是错误的，因为Redis的安全性依赖于正确的配置。如果Redis没有设置密码或网络未正确配置，则可能会存在未经授权的访问。这将使攻击者能够通过Redis协议接口获取敏感信息、更改Redis数据库中存储的数据或直接关闭Redis服务，从而对系统造成损害。因此，建议使用者在部署和管理Redis时要注意安全配置，包括设置强密码、限制网络访问等措施，以确保Redis的安全性。 参考技术D 1 未授权访问指的是没有经过授权就可以访问redis数据库。

2 未授权访问是redis数据库中的一种常见安全漏洞，因为攻击者可以利用这个漏洞获取敏感信息或者篡改数据。

3 说redis未授权访问是安全的是不正确的，因为它会给攻击者留下入侵的机会，造成不必要的安全风险。
因此，我们应该采取措施来避免未授权访问的发生，例如设置访问控制列表、使用密码认证、限制IP访问等。

关于Redis未授权访问漏洞被植入挖矿程序

1.由于安装低版本的redis，默认绑定在 0.0.0.0:6379，会将Redis服务暴露到公网上，如果在没有开启认证的情况下，可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据
2.此时服务公网端口被扫描到，植入挖矿程序，使用top命令可以看到cpu使用率被占满，把它kill掉cpu使用率马上就下降了，但是不一会cpu使用率又上了
3.这种情况打开crontab -l 可以看到有一条被植入的定时任务或者一般也会在写在定时文件里/var/spool/cron,将其删除，如果有自己的定时任务被删除掉，可以ls /var/log/cron*，根据日志来恢复
4.此时还应检查是否有公钥写入到目标系统的/root/.ssh下，可免密码登录目标ssh，如果有需要及时删除
5.建议：如果不需要外网访问，则修改设置 0.0.0.0:6379。只是本机访问则改为127.0.0.1:6379。设置redis访问密码，建议设置密码要复杂一点，因为redis允许长时间扫描。可以的话对redis的访问端口进行修改。