Redis缓存默认配置的高危风险,Redis Object Cache插件配置修改教程

释放双眼,带上耳机,听听看~!

如果你使用了Redis+Redis Object Cache进行缓存数据库,而且没有修改任何配置,那么恭喜你,这篇文章你一定需要!

关于安装,点开php,安装reids扩展,点开session选择redis保存,在此建议各位尽量安装最新版本php7.4。
请输入图片描述

打开wordpress后台安装插件,搜索reids,安装插件,然后点开设置 —> redis,点enable object cache 启动插件。

关于默认的危害以及风险:

1.任何人能够远程访问Redis,读取Redis数据。

2.使用Redis的一些命令,可以向服务器上写入公钥,使用私钥无密码登录服务器,进行远程控制。

产生安全问题的条件:

1.Redis没有设置密码或者弱密码

2.Redis没有修改默认端口

3.没有限制Redis 配置文件访问权限

4.Redis没有禁用或者重命名危险命令

5.Redis使用默认账号root
6.Redis端口暴露在公网
7.Redis没有限制访问IP

Redis没有设置密码或者弱密码

第一步:在宝塔面板找到Redis并修改端口和密码
请输入图片描述

第二步:网站后台停止Redis Object Cache启动,宝塔文件修改Redis Object Cache默认配置

路径:/wp-content/plugins/redis-cache/includes/ 插件目录下的 object-cache.php

修改完成宝塔面板Redis重新加载配置,然后重启Redis
请输入图片描述

第三步:启动Redis Object Cache,出现以下文字即配置正常
请输入图片描述
高级维护:

没有限制Redis 配置文件访问权限

因为redis密码明文存储在配置文件中,禁止不相关的用户访问改配置文件是必要的,设置redis配置文件权限为600

注意:设置权限的使用者为:redis,而不是root,如果不懂得请百度或者忽略,因为宝塔默认权限为:664

执行以下命令修改配置文件权限:

chmod 600 /<filepath>/redis.conf

禁止使用root用户启动(宝塔用户可以忽略)

使用root权限去运行网络服务是比较有风险的(nginx和apache都是有独立的work用户,而redis没有)。

redis crackit 漏洞就是利用root用户的权限来替换或者增加authorized_keys,来获取root登录权限的

使用root切换到redis用户启动服务:

useradd -s /sbin/nolog -M redis 

sudo -u redis /<redis-server-path>/redis-server /<configpath>/redis.conf 2&1>/dev/null &

禁止监听在公网(宝塔用户可以忽略)

Redis监听在0.0.0.0,可能导致服务对外或内网横向移动渗透风险,极易被黑客利用入侵。

在redis的配置文件redis.conf中配置如下: bind 127.0.0.1或者内网IP,然后重启redis

redis缓存清除
1.redis根目录调出命令行(cmd)

2.登录redis:redis-cli -h 127.0.0.1 -p 6379

3.我们输入 auth 123456#你刚才设置的密码

4.清空整个 Redis 服务器的数据:flushall

给TA买糖
共{{data.count}}人
人已赞赏
互联网文案

各类主题针对PHP调整的参数

2021-6-5 13:13:50

互联网文案

WordPress网站地图XML报错的修复方法

2021-6-5 13:18:42

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索