Redis缓存数据库加固措施有哪些

90次阅读
没有评论

共计 2550 个字符,预计需要花费 7 分钟才能阅读完成。

今天丸趣 TV 小编给大家分享一下 Redis 缓存数据库加固措施有哪些的相关知识点,内容详细,逻辑清晰,相信大部分人都还太了解这方面的知识,所以分享这篇文章给大家参考一下,希望大家阅读完这篇文章后有所收获,下面我们一起来了解一下吧。

敏感数据与加密保护

1. 密码保存 (重要)

安全问题:原生 Redis 服务端密码 requirepass 和 masterauth 是明文保存到 redis.conf。

解决方案: 服务端密码采用 PBKDF2 加密后保存到 redis.conf。

考虑到性能问题,每次认证都用 PBKDF2 会比较耗时, 经过评审,采用在首次认证成功后,内存采用 SHA256 缓存,后续的请求优先使用 SHA256 校验。

2. 支持秘钥替换 (重要)

安全问题:涉及加解密的秘钥不能写死到代码中。

解决方案: 秘钥支持定期替换。

➤redis 服务端 redis-server:

配置文件增加配置项:cipher-dir

配置为 redis_shared.key 和 root.key 所在的文件夹的全路径,例如:cipher-dir /opt/redis/etc/cipher

➤redis 客户端:redis-cli

添加参数 -cipherdir,指向 redis_shared.key 和 root.key 所在的文件夹的全路径

例如:redis-cli -h 127.0.0.1 -cipherdir /opt/redis/etc/cipher -a sessionrdb@dbuser@Changeme_123 -p 32091

➤redis 客户端 SDK:jedis*.jar

同一个进程内,Jedis 接口为 string, dbname@user@pwd,因为第三方接口 (类似 Jdbc),无法加密。

3. 密码传输 (重要)

安全问题:原生 Redis 通过 config get 命令可能获取到服务端敏感信息。

解决方案:禁止将口令等敏感信息传送到客户端,因此需要禁掉 config get requirepas/masterauth/requireuserpass 等功能。

4. 密码修改 (重要)

安全问题:修改密码明文传输:config set masterauth pwd

解决方案:Redis 内存保存明文密码问题: masterauth 使用 AES128 加密,密码采用 AES128 保存

口令安全

1. 产品缺省启用数据库口令复杂度检查功能

安全问题:Redis 修改密码没有复杂度检查。

解决方案:提供单独的 Redis 修改工具来修改密码,特别注意以下几点:

1.进行口令复杂度检查。

2.在输入错误的用户名或密码时,不能出现类似于“密码错误”、“用户名不存在”之类的过于明确的原因提示信息,以防止攻击者用于猜解系统用户名 / 口令。

3.修改密码要校验老密码。

4.修改数据库密码不能和用户名一样。

5.交互式密码修改时要隐藏密码。

6.在文档中建议通过交互式修改密码。

2. 防暴力破解, 配置账户登录失败尝试次数

安全问题:Redis 原生版本存在暴力破解情况。

解决方案:最大失败次数:maxauthfailtimes(单位 次,有效范围 (0,10 万],默认值 1 万)

说明:该配置项只支持在启动时 redis.conf 配置,不支持动态修改, 屏蔽掉对应 config set。

不支持设置为 0:表示不锁定任何 IP。

3. 配置账户锁定后自动解锁时间

鉴权失败锁定时间:authfaillocktime(单位分钟,有效范围 [0~999],默认值 10)

设置为 0 时,表示永久锁定。

说明: 该配置项只支持在启动时 redis.conf 配置,不支持动态修改, 屏蔽掉对应 config set。

4. 查看锁定 IP

问题:IP 锁定后需要查看被锁定 IP。

解决方案:

只有管理员可以查看已经锁定的 IP 列表,分隔符为英文冒号(:)
示例 1:config get lockedips
返回:10.67.147.111;10.67.147.112;
示例 2:config get lockedips
返回:10.67.147.111;
说明:不支持 config set lockedips,如果强制执行,返回错误:ERR Unsupported CONFIG parameter: lockedips

5. 手工锁定 IP 的解除

只有管理员可以执行命令解锁锁定的 IP,只支持解锁单个 IP 或者解锁全部 IP
解决方案:

示例 1,解锁单个 IP:config set unlockips 10.67.147.111
示例 2,解锁所有 IP:config set unlockips“all”
说明:不支持 config get unlockips,如果强制执行,返回空,redis-cli 提示:(empty list or set)
如果参数中的 IP 没有出现过异常,会返回解锁失败,例如:
(error) ERR Invalid argument 10.67.147.111 for CONFIG SET unlockips

执行手动解锁,记录 trace,例如:
例如:26 Dec 03:15:19.958 * 10.67.147.113 unlocked by 10.67.147.111:59417 日志审计

6. 安全审计

1.Redis 自身支持日志记录到系统日志,如 /var/log/localmessage。但需要通过在 redis.conf 进行如下配置:

syslog-enabled yes

syslog-ident redis

syslog-facility local0

2. 客户端登录,记录客户端 IP,账号等信息。

3. 相关维护操作必须有详细的日志记录。

示例: 29118:S 26 Nov 11:19:29.100 * The readdbuser logged in successfully;10.145.93.119:52817;

7. 操作日志转储

安全问题:官方版本 Redis 日志不会转储,长时间运行可能会把磁盘占满。

解决方案:单独运行 tracemonitor 进程 (python 版), 定期管理 Redis 日志文件大小,主要是日志压缩和定期删除,避免占用过多磁盘。

说明:目前平台默认 60 秒检测一次,日志达到 20M 压缩,日志个数最大 50 个。

以上就是“Redis 缓存数据库加固措施有哪些”这篇文章的所有内容,感谢各位的阅读!相信大家阅读完这篇文章都有很大的收获,丸趣 TV 小编每天都会为大家更新不同的知识,如果还想学习更多的知识,请关注丸趣 TV 行业资讯频道。

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-08-03发表,共计2550字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)