Redis 未授權訪問漏洞

標籤：process   分享   eid   設定密碼   ext   客戶   png   amp   方式   

公司的伺服器被掃出redis相關漏洞，未授權的訪問漏洞！

就是應為沒有設定密碼，所以被掃描出漏洞，設定個密碼就完事
修改設定檔
Redis的設定檔預設在/etc/redis.conf，找到如下行：

#requirepass foobared
去掉前面的注釋，並修改為所需要的密碼：

requirepass myPassword （其中myPassword就是要設定的密碼）

重啟Redis
如果Redis已經配置為service服務，可以通過以下方式重啟：

service redis restart
如果Redis沒有配置為service服務，可以通過以下方式重啟：
關閉：redis-cli shutdown 或者 kill redis進程的pid
啟動 ./src/redis-server redis.conf &

ps -ef |grep redis 查看reids相關進程

登入驗證
設定Redis認證密碼後，用戶端登入時需要使用-a參數輸入認證密碼，不添加該參數雖然也可以登入成功，但是沒有任何操作許可權。如下：

$ ./redis-cli -h 127.0.0.1 -p 6379
127.0.0.1:6379> keys *
(error) NOAUTH Authentication required.
使用密碼認證登入，並驗證操作許可權：

$ ./redis-cli -h 127.0.0.1 -p 6379 -a myPassword
127.0.0.1:6379> config get requirepass
1) "requirepass"
2) "myPassword"
看到類似上面的輸出，說明Reids密碼認證配置成功

redis 增加密碼前一定要和研發的同學做好溝通，不然，你以增加完密碼，他們可能就提著

Redis 未授權訪問漏洞