一分一毛也是爱

微信

微信

支付宝

支付宝

观海听潮

观海听潮博客

登录
还没有账号?去注册
观海听潮

观海听潮博客

注册
  • 欢迎来自美国弗吉尼亚州的访客,您好!
×

我的名片

网名:观海听潮

职业:PHP开发工程师

现居:山东省-青岛市

Email:1256699215@qq.com

网站统计

  • 观海听潮•博客
  • 57篇
  • 145条
  • 28869次
  • 245次
  • 美国弗吉尼亚州

您现在的位置是:首页  > 技术杂谈  > linux  > redis redis

观海听潮

redis 被攻击防护操作

摘要
本人网站redis被恶意插入数据导致运行错误,所以从网上找了相关防护操作

问题:

redis被恶意插入a ;ping -c 3 79a4104f-a845-444c-b969-4405ac87d871.scan.heibaidiguo.cn

原因:

redis没有设置密码,且允许任何ip访问。攻击者无需认证访问到内部数据,进行读写,攻击者可以成功地将自己的ssh公钥写入到目标服务器的 /root/.ssh文件夹下的authotrized_keys文件中。

措施:

1、修改redis.conf文件内容  路径:usr/local/redis/etc/redis.conf

禁用远程修改DB文件地址命令:

      rename-commond FLUSHALL ""

      rename-commond CONFIG ""

      rename-command EVAL ""

为Redis添加密码验证:

      requirepass mypassword

禁止外网访问 Redis:

      bind 127.0.0.1

2、服务器命令

低权限运行Redis服务

为Redis服务创建单独的userhome目录,并且配置禁止登陆

      groupadd -r redis && useradd -r -g redis redis

保证authorized_keys文件的安全

为了保证安全,您应该阻止其他用户添加新的公钥。将authorized_keys的权限设置为对拥有者只读,其他用户没有任何权限

      chmod 400 ~/.ssh/authorized_keys

为保证authorized_keys的权限不会被改掉,您还需要设置该文件的immutable位权限

      chattr +i ~/.ssh/authorized_keys

用户还可以重命名~/.ssh,然后新建新的~/.ssh目录和authorized_keys文件。要避免这种情况,需要设置~./ssh的immutable

位权限

      chattr +i ~/.ssh

//只允许127.0.0.1访问6379   

      iptables -A INPUT -s 127.0.0.1 -p tcp --dport 6379 -j ACCEPT    

//其他ip访问全部拒绝    

      iptables -A INPUT -p TCP --dport 6379 -j REJECT

参考链接:https://yq.aliyun.com/articles/646730?spm=a2c4e.11153940.0.0.34f2653cYBa8Fn


上一篇:Linux安装redis

下一篇:公众号基本配置

讨厌 (0)
微博logo QQ空间logo QQlogo 豆瓣logo 人人logo 百度贴吧logo 有道云笔记logo

文章评论

表情表情
×
图片图片

评论列表