首頁 > 資料庫 > Redis > 主體

Redis快取資料庫加強措施有哪些

WBOY
發布: 2023-06-01 20:28:19
轉載
1593 人瀏覽過

敏感資料與加密保護

1.密碼保存(重要)

安全性問題:原生Redis服務端密碼requirepass與masterauth是明文儲存到redis. conf。

解決方案: 服務端密碼採用PBKDF2加密後儲存到redis.conf。

考慮到效能問題,每次認證都用PBKDF2會比較耗時,經過評審,採用在首次認證成功後,內存採用SHA256緩存,後續的請求優先使用SHA256校驗。

2.支援秘鑰替換(重要)

安全性問題:涉及加解密的秘鑰不能寫死到程式碼中。

解決方案: 秘鑰支援定期替換。

➤redis服務端redis-server:

設定檔增加設定項:cipher-dir

設定為redis_shared.key和root.key所在的資料夾的全路徑,例如:cipher-dir /opt/redis/etc/cipher

➤redis客戶端:redis-cli

新增參數-cipherdir,指向redis_shared.key和root.key所在的資料夾的全路徑

例如:redis-cli -h 127.0.0.1 -cipherdir /opt/redis/etc/cipher -a sessionrdb@dbuser@Changeme_123 -p 32091

##➤redis客戶客戶端SDK:jedis*.jar

同一個行程內,Jedis介面為string, dbname@user@pwd,因為第三方介面(類似Jdbc),無法加密。

3.密碼傳輸(重要)

安全性問題:原生Redis透過config get指令可能取得到服務端敏感資訊。

解決方案:禁止將口令等敏感訊息傳送到客戶端,因此需要禁掉config get requirepas/masterauth/requireuserpass等功能。

4.密碼修改(重要)

安全性問題:修改密碼明文傳送:config set masterauth pwd

解決方案:Redis記憶體儲存明文密碼問題: masterauth 使用AES128加密,密碼採用AES128保存

口令安全

#1.產品缺省啟用資料庫口令複雜度檢查功能

安全性問題:Redis修改密碼沒有複雜度檢查。

解決方案:提供單獨的Redis修改工具來修改密碼,特別注意以下幾點:

#1.進行口令複雜度檢查。

2.在輸入錯誤的使用者名稱或密碼時,不能出現類似「密碼錯誤」、「使用者名稱不存在」之類的過於明確的原因提示訊息,以防止攻擊者用於猜解系統使用者名稱/口令。

3.修改密碼要校驗舊密碼。

4.修改資料庫密碼不能和使用者名稱一樣。

5.互動式密碼修改時要隱藏密碼。

6.在文件中建議透過互動式修改密碼。

2.防暴力破解,設定帳號登入失敗嘗試次數

安全問題:Redis原生版本有暴力破解狀況。

解決方案:最大失敗次數:maxauthfailtimes(單位次,有效範圍(0,10萬],預設值1萬)

此設定僅能在啟動時通過redis.conf文件進行配置,無法透過動態修改實現,對應的config set操作被停用。

不支援設定為0:表示不鎖定任何IP。

3.配置帳戶鎖定後自動解鎖時間

鑑權失敗鎖定時間:authfaillocktime(單位分鐘,有效範圍[0~999],預設值10)

設定為0時,表示永久鎖定。











#說明: 此配置項目只支援在啟動時redis.conf配置,不支援動態修改,屏蔽掉對應config set。


4.查看鎖定IP

##問題:IP鎖定後需要查看被鎖定IP。

解決方案:

只有管理員可以查看已經鎖定的IP列表,分隔符號為英文冒號(:)

範例1:config get lockedips

回傳:10.67.147.111;10.67.147.112;

範例2:config get lockedips

傳回:10.67.147.111;

說明:不支援config set lockedips,如果強制執行,回傳錯誤:R : lockedips

5.手動鎖定IP的解除

只有管理員可以執行指令解鎖鎖定的IP,只支援解鎖單一IP或解鎖全部IP

解決方案:

範例1,解鎖單一IP:config set unlockips 10.67.147.111

範例2,解鎖所有IP:config set unlockips “all”

說明:不支援config get unlockips,如果強制執行,回傳空, redis-cli提示:(empty list or set)

如果參數中的IP沒有出現過異常,會回傳解鎖失敗,例如:

(error) ERR Invalid argument '10.67.147.111' for CONFIG SET 'unlockips '######執行手動解鎖,記錄trace,例如:### 例如:26 Dec 03:15:19.958 * 10.67.147.113 unlocked by 10.67.147.111:59417審計#####6.安全日誌##稽核######Redis本身支援將日誌記錄到系統日誌中,例如/var/log/localmessage。但需要透過在redis.conf進行如下配置:######syslog-enabled yes######syslog-ident redis######syslog-facility local0#######2.客戶端登錄,記錄客戶端IP,帳號等資訊。 ######3.相關維護作業必須有詳細的日誌記錄。 ######範例: 29118:S 26 Nov 11:19:29.100 * The readdbuser logged in successfully;10.145.93.119:52817;######7.操作日誌轉儲##### 安全性#問題:官方版本Redis日誌不會轉儲,長時間運行可能會把磁碟佔滿。 ###

解決方案:單獨執行tracemonitor進程(python版),定期管理Redis日誌檔案大小,主要是日誌壓縮和定期刪除,避免佔用過多磁碟。

說明:目前平台預設60秒偵測一次,日誌達到20M壓縮,日誌個數最大50個。

以上是Redis快取資料庫加強措施有哪些的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:yisu.com
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板
關於我們 免責聲明 Sitemap
PHP中文網:公益線上PHP培訓,幫助PHP學習者快速成長!