文章目錄
Redis on Windows 的安全設定
redis 為了強調高性能表現及簡易使用方式,而將安全性前提建立於信任環境的信任用戶,所以未妥善設定的 redis 會直接赤裸裸地曝露在網路上,嚴重影響資安風險。為了避免機敏資料被盜取或是被刪除,一定要做些基本防護。
今天主要是用 Windows 上的 Redis 當做範例,大部份設定是相同的
設定方式
直接修改 redis 的組態 config 檔
{安裝路徑}\Redis\redis.windows-service.conf組態 config 檔案位於 redis 安裝目錄下
修改後需重新啟動 service
安全設定
預設啟用保護模式
protected-mode yes
- redis 3.2.0 以後預設啟用
- 保護模式啟用下,
且符合下列兩條件時,僅允許本機存取- 未限制網路存取
- 未設定密碼保護
可以手動關閉
protected-mode no
監聽 redis 服務的 ip (redis 只處理 bind ip 連線進來的 request,例:
bind 192.168.0.2使用redis-cli -h 127.0.0.1就無法成功連線)bind {ip}
- e.g.
bind 127.0.0.1 未加入
127.0.0.1會導致 service 無法啟動
- e.g.
密碼驗證
requirepass {password}
- 明碼儲存
- 非加密傳輸
- 建議使用較長密碼
e.g.
requirepass password
使用指令別名
rename-command CONFIG {newname}
- 將
config指令改為 {newname} 避免一般使用者直接修改 redis 的設定
e.g.
rename-command CONFIG b840fc02d524045429941cc15f59e41cb7be6c52
- 將
禁用特定指令
rename-command CONFIG “”
- 指定為空字串,即不允許執行該命令
參考資料
文章作者 Yowko Tsai
上次更新 2021-10-28
授權合約
本部落格 (Yowko's Notes) 所有的文章內容(包含圖片),任何轉載行為,必須通知並獲本部落格作者 (Yowko Tsai) 的同意始得轉載,且轉載皆須註明出處與作者。
Yowko's Notes 由 Yowko Tsai 製作,以創用CC 姓名標示-非商業性-相同方式分享 3.0 台灣 授權條款 釋出。