redis未授权访问漏洞修复方案
1.redis未授权访问漏洞通过redis未授权访问漏洞,会造成敏感信息泄露,甚至被利用直接控制服务器,其危害不言而喻。但是在实际工作中,发现一些开发人员和运维人员并不知道如何妥善配置。因此有了本文,对redis的配置,建议就是2条,一个就是改强密码,一个就是改端口。2.redis改密码和端口给redis设置密码,密码应该由字母、数字、特殊符号组成。像123456,qwer1234这种弱口令肯定不
1.redis未授权访问漏洞
通过redis未授权访问漏洞,会造成敏感信息泄露,甚至被利用直接控制服务器,其危害不言而喻。但是在实际工作中,发现一些开发人员和运维人员并不知道如何妥善配置。因此有了本文,对redis的配置,建议就是2条,一个就是改强密码,一个就是改端口。
2.redis改密码和端口
给redis设置密码,密码应该由字母、数字、特殊符号组成。像123456,qwer1234这种弱口令肯定不合适,而Q1w@e3r4这种也不合适,因为它太随机、用的人太多,一般密码字典都会收录。所以密码的设置,要满足复杂性、随机性和不可预测性。
(1)编辑/etc/redis.conf文件,设置密码,requirepass后跟的就是密码
vi /etc/redis.conf
(2)改端口,我们知道redis默认的端口是6379,那么改端口成6479,16379这种显然是不合适的,因为太容易猜出来了,关联性太强。另外一般攻击者扫端口,10000以上的端口较少关注,所以我们的端口需要数字比较大。
(3)退出保存,重启redis生效。
如果使用systemctl restart redis重启失败,则使用以下命令:
redis-server /etc/redis.conf --port 17033&
更多推荐
所有评论(0)