redis设置密码以及加固建议

Posted 2023-04-28

参考技术A

edis没有实现访问控制这个功能，但是它提供了一个轻量级的认证方式，可以编辑redis.conf配置来启用认证。

在配置文件中有个参数： requirepass 这个就是配置redis访问密码的参数；

（Ps:需重启Redis才能生效）

redis的查询速度是非常快的，外部用户一秒内可以尝试多大150K个密码；所以密码要尽量长（对于DBA 没有必要必须记住密码）；

在配置文件中配置requirepass的密码（当redis重启时密码依然有效）。

查询密码：

密码验证：

再次查询：

PS：如果配置文件中没添加密码 那么redis重启后，密码失效；

在登录的时候的时候输入密码：

先登陆后验证：

AUTH命令跟其他redis命令一样，是没有加密的；阻止不了攻击者在网络上窃取你的密码；

认证层的目标是提供多一层的保护。如果防火墙或者用来保护redis的系统防御外部攻击失败的话，外部用户如果没有通过密码认证还是无法访问redis的。

2、重启redis

Linux服务器配置系统安全加固方法

1. SSH空闲超时时间建议为: 600-900
解决方案: 在【/etc/ssh/sshd_config】文件中设置【ClientAliveInterval】设置为600到900之间

vim /etc/ssh/sshd_config #将 ClientAliveInterval 参数值设置为 900

2. 修改检查SSH密码修改最小间隔
解决方案: 在【/etc/login.defs】文件中设置 【PASS_MIN_DAYS】 参数值大于等于7，需同时执行命令设置root 密码失效时间 命令如下:

vim /etc/login.defs #将 PASS_MIN_DAYS 参数值设置为 7

chage --mindays 7 root

3. 检查SSH密码失效时间
解决方案: 使用非密码登陆方式密钥对，请忽略此项。 在【/etc/login.defs】文件中将【PASS_MAX_DAYS】参数值设置为90-180之间，需同时执行命令设置root 密码失效时间 命令如下:

vim /etc/login.defs #将 PASS_MAX_DAYS 参数值设置为 90

chage --maxdays 90 root

4. 修改 SSH 最大连接数
解决方案: 1、在【/etc/ssh/sshd_config】文件中设置【MaxAuthTries】参数值为3-5

vim /etc/ssh/sshd_config #将 MaxAuthTries 参数值设置为 3

5. 修改 SSH 密码长度要求
解决方案: 在【/etc/security/pwquality.conf】 文件中把【minlen】(密码最小长度)参数值设置为9-32位

vim /etc/security/pwquality.conf #将 minlen 参数值设置为 32

6. 修改 SSH 密码复杂度要求
在【/etc/security/pwquality.conf】文件中，把【minclass】（至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类）设置为3或4。

vim /etc/security/pwquality.conf#将 minclass 参数值设置为 4

7. 内存安全-开启地址空间布局随机化
解决方案: 在【/proc/sys/kernel/randomize_va_space】 文件中，将值设置为2。
vim /proc/sys/kernel/randomize_va_space ，将值设为2。

vim /proc/sys/kernel/randomize_va_space #将值设置为 2

或者通过如下命令设置:

sysctl -w kernel.randomize_va_space=2

8. 修改 【/etc/profile】 用户缺省权限
【/etc/profile】 文件中所设置的umask为002,不符合要求，建议设置为027。

vim /etc/profile #将 umask 参数值设置为 027

9. 修改 【/etc/bashrc】 用户缺省权限
【/etc/bashrc】 文件中所所设置的umask为002,不符合要求，建议设置为027。

vim /etc/bashrc #将 umask 参数值设置为 027

10. 修改 【/etc/csh.cshrc】 用户缺省权限检查
【/etc/csh.cshrc】 文件中所所设置的umask为002,不符合要求，建议设置为027。

vim /etc/csh.cshrc #将 umask 参数值设置为 027

11. 检查 Nginx 是否存在版本泄露
解决方案: 在【/www/server/nginx/conf/nginx.conf】文件中设置server_tokens off。

vim /www/server/nginx/conf/nginx.conf #将 server_tokens 参数值设置为 off

12. 检查 PHP 是否存在版本泄露
解决方案: 在【php.ini】文件中设置【expose_php】将配置为Off。

vim /www/server/php/73/etc/php.ini #将 expose_php 参数值设置为 Off