Redis数据库安全之旅

前言

​​Redis​​相信大家都或多或少都听说过吧,作为内存数据库的代表, 但是近些年​​Redis​​ 被攻击的典范也是越来越多,我们将如何防护​​Redis​​ 安全呢? 跟着我们的脚本,来看看这篇文章吧.

对于​​Redis​​而言，我们设置的方法大概有以下几种

• 通过​​redis.conf​​ 设置。
• 在已经启动的​​Redis​​ 中使用​​CONFIG SET​​ 来设置。

如之前所述，安全方面归根结底，总结一句话就是：最好的安全设置就是最小化权限。

那我们来看下，​​Redis​​ 有哪些安全设置呢？

开放最小化很重要

作为​​Redis​​ 服务器而言， 应该仅允许受信任的客户端访问，其他访问都应该拒绝，因此也善用防火墙相当重要，当然这个防火墙不是在​​Redis​​ 是做不了的，应该在​​Redis​​ 所属的机器进行设置。

若该​​Redis​​ 是自建于本地实体机中，那么应该考虑防火墙软件，例如： ​​iptables​​ 、​​firewalld​​ 等。若是存在于各云厂商实例中(​​ECS​​ )，那么应该善用云厂商提供的防火墙。

那我们​​Redis​​ 在这一步就什么也不能做了么？ 不是的，在​​Redis​​ 配置中，有一个配置参数为​​bind​​ ，该参数选项是将​​Redis​​对相应的网卡监听，若配置如下:

bind 127.0.0.1
复制代码

则监听在本地的回环地址上，若该值为空，则监听所有的网卡(3.2版本提供的功能)。

若想监听在多个网卡上的话，​​ip​​ 地址直接可以使用空格分开即可，例如:

bind 127.0.0.1 10.0.2.15
复制代码

则该配置则是监听到​​127.0.0.1​​ 以及 ​​10.0.2.15​​ 网卡上。

在已经启动的​​Redis​​ 中，想查看​​Redis​​ 监听到哪些网卡上，除了查看所属机器的网路状态外，还可以通过​​CONFIG GET bind​​ 来获取。

除此之外，​​Redis​​还为我们提供了"保护模式"，即配置: ​​protected-mode​​ ，默认为​​yes​​ 。请不要关闭它，因为它能够检测到启动后的​​Redis​​ 是否安全，其检测策略为：当​​Redis​​ 没有设置密码的时候，从外部进行访问，这就会触发它的保护模式，即向访问用户提示信息: ​​Redis is running in protected mode because protected mode is enabled and no password is set for the default user.​​

当然网上很多博客提供的最快解决如上问题的方法是关闭其保护模式,请不要这么做.

认证不可少

接上一段落,若​​Redis​​ 想从外部进行访问,除了关闭保护模式以外,还可以设置​​Redis​​ 密码. 在​​Redis​​ 中,通过配置​​requirepass​​ 来设置密码,不过设置密码应当注意一下,​​Redis​​ 密码不应该设置为若密码,建议设置为复杂密码.

原因如下:

• 客户端在校验身份的时候,使用的是​​auth​​ 命令,可以理解为是​​Redis​​ 的普通命令,即能够被无限执行,换言之有被爆破的可能.
• ​​redis-cli​​可以通过加载客户端的​​redis.conf​​ 文件来校验服务器, 不需要管理员记住密码.

如上所属,客户端在校验身份的时候,发送的是​​auth​​ 命令,该命令可以理解为​​Redis​​ 的普通命令,是没有被加密的, 若请求报文被监听了,也有泄密的可能. 所以尽可能的使用加密进行通信,即: ​​SSL/TLS​​.

防止管理员误操作也很重要

在​​Redis​​中有一些非常危险的命令,例如: ​​FLUSHALL​​ ,​​FLUSHDB​​ ,该命令前者是清空所有的数据,后则是清空当前库的数据, 在日常工作中,如果误操作了,那后果不堪设想. 还有一些命令,运行后可能会导致系统阻塞,非常不建议使用,例如:​​KEYS​​ ,​​HGETALL​​等.

基于上述情况,禁用某些命令来保证系统安全是非常有必要的, 好在​​Redis​​给我们提供了方法. 若想禁用某些命令,可以在其服务器​​redis.conf​​ 配置文件中,使用​​rename-command​​ 指令,例如:

rename-command FLUSHALL ""
rename-command FLUSHDB ""
复制代码

若设置为空的话,则是禁止使用命令.修改配置,启动服务器后,若再使用这些命令,即会报错: ​​ERR unknown command​​ .

若并非想禁用命令,而是想重命名命令,那么将空字符串修改为重命名后的命令即可,例如:

rename-command KEYS FINDALL
复制代码

设置后,即可使用​​FINDALL​​ 来代替​​KEYS​​ , 案例如下:

127.0.0.1:6379> set juejinNmae pdudo
OK
127.0.0.1:6379> FINDALL *
1) "juejinNmae"
127.0.0.1:6379> 
复制代码

担心网络被监听? 开启TLS之旅吧

开启​​ssl/tls​​ 后势必会降低​​Redis​​ 的吞吐量,所以是否采用该配置主要还是看业务情况,若业务想要避免被抓包等,适合开启该设置,若仅在某一内网使用,那就没必要的.

​​Redis 6.0​​ 以后启用了​​SSL/TLS​​ ,但是注意, 若想使用​​SSL/TLS​​ 的话,在编译的时候需要指定​​make BUILD_TLS=yes​​ , 这里需要注意的是, 客户端和服务器都需要编译才行.

这里简单举个例子如何启动​​Redis​​吧.

证书生成

openssl genrsa -out ca.key 2048
openssl req -new -key ca.key -out ca.csr
openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt
复制代码

数据库启动

redis-server --tls-port 6379 --port 0  --tls-cert-file ca.crt --tls-key-file ca.key  --tls-ca-cert-file ca.crt
复制代码

客户端连接

redis-cli --tls --cert ca.crt --key ca.key  --cacert ca.crt
复制代码

在使用​​SSL/TLS​​ 后,我们需要禁用非​​TLS​​ 端口并且开启​​SSL/TLS​​ 端口后,可以直接设置:

port 0
tls-port 6379
复制代码

这样的话,通过​​6379​​ 连接,默认情况下是走的​​SSL/TLS​​

总结

安全一直是大家比较关心的话题,在​​Redis​​ 中,我们不仅仅要防外部入侵, 还要知道, 技术人员的误操作也许破坏的更为严重, 始终需要记住, 权限最小化.不仅对外,也需要对内.