由于 redis 是易受攻击的服务, 为了避免可能发生的内网渗透风险, 通常需要为 redis 设置密码, 并且设置为仅允许本地访问, 或者修改默认端口.
加固方法可参考如下操作:
方式一: 添加 redis 认证鉴权
方式二: 配置 redis 仅监听在本地地址
方式三: 修改默认端口
需要修改 redis 配置文件 redis.conf, 并且重启 redis 服务后生效.
设置 redis 密码
redis 没有实现访问控制这个功能, 但是它提供了一个轻量级的认证方式, 可以编辑 redis.conf 配置来启用认证.
1, 初始化 Redis 密码:
在配置文件中有个参数: requirepass 这个就是配置 redis 访问密码的参数;
比如 requirepass test123;
(Ps: 需重启 Redis 才能生效)
redis 的查询速度是非常快的, 外部用户一秒内可以尝试多大 150K 个密码; 所以密码要尽量长 (对于 DBA 没有必要必须记住密码);
2, 不重启 Redis 设置密码:
在配置文件中配置 requirepass 的密码 (当 redis 重启时密码依然有效).
redis 127.0.0.1:6379> config set requirepass test123
查询密码:
- redis 127.0.0.1:6379> config get requirepass
- (error) ERR operation not permitted
密码验证:
- redis 127.0.0.1:6379> auth test123
- OK
再次查询:
- redis 127.0.0.1:6379> config get requirepass
- 1) "requirepass"
- 2) "test123"
PS: 如果配置文件中没添加密码 那么 redis 重启后, 密码失效;
3, 登陆有密码的 Redis:
在登录的时候的时候输入密码:
redis-cli -p 6379 -a test123
先登陆后验证:
- redis-cli -p 6379
- redis 127.0.0.1:6379> auth test123
- OK
AUTH 命令跟其他 redis 命令一样, 是没有加密的; 阻止不了攻击者在网络上窃取你的密码;
认证层的目标是提供多一层的保护. 如果防火墙或者用来保护 redis 的系统防御外部攻击失败的话, 外部用户如果没有通过密码认证还是无法访问 redis 的.
配置 redis 仅监听在本地地址
redis.conf 配置文件:
bind 127.0.0.1
通常我都设置为 bind 0.0.0.0, 允许远程连接. 修改后重启 redis 服务.
修改默认 6379 端口
redis.conf 配置文件:
port 6666
默认端口为 6379.
redis 相关命令
可执行文件 | 作用 |
redis-server | 启动 redis |
redis-cli | redis 命令行工具 |
redis-benchmark | 基准测试工具 |
redis-check-aof | AOF 持久化文件检测工具和修复工具 |
redis-check-dump | RDB 持久化文件检测工具和修复工具 |
redis-sentinel | 启动 redis-sentinel |
最常用到的是 redis-cli
redis-cli -help 查看参数
远程连接
redis-cli -h HOST -p PORT -a Password
如:
redis-cli -h 127.0.0.1 -p 6379 -a test123
执行命令
redis-cli -h HOST -p PORT COMMAND
如:
- $redis-cli -h 127.0.0.1-p 6379 get hello
- "world"
关于命令这篇总结的比较好: https://www.cnblogs.com/kongzhongqijing/p/6867960.html
来源: https://www.cnblogs.com/zhoujie/p/redis2.html