Redis 危险未经授权上传公钥(redis未授权上传公钥)

Redis 危险:未经授权上传公钥

成都创新互联公司成立于2013年,是专业互联网技术服务公司,拥有项目成都做网站、网站建设网站策划,项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命,1280元阳东做网站,已为上家服务,为阳东各地企业和个人服务,联系电话:18980820575

Redis 是一种基于键值对保存数据的内存数据库,常用于缓存服务器和数据处理等实时性要求较高的场景中。然而,近日业内安全研究人员发现了 Redis 存在一种危险行为,即未经授权上传公钥的现象。

在 Redis 中,用户可以通过配置文件中的 SSH-authorized-keys 选项添加公钥以实现远程登录操作。这一选项的存在可以方便管理员进行 Redis 的集群管理以及数据备份操作等。但是,如果该选项被滥用,攻击者就可以轻易地上传自己的公钥并远程控制 Redis 服务器。

具体来说,攻击者可以先通过漏洞或弱口令等手段获取 Redis 服务器的访问权限,然后通过该权限在 Redis 配置文件中添加自己的公钥。接着,攻击者就可以通过 ssh 协议登录 Redis 服务器,甚至可以通过该服务器进一步攻击其它内部系统。

为了避免 Redis 被滥用,开发者们需要注意以下几点:

1. 限制 Redis 访问权限,尽可能避免使用默认端口和弱密码等风险较高的设置。

2. 禁用 ssh-authorized-keys 选项,仅允许通过密码登录 Redis 服务器。

3. 定期检查 Redis 配置文件,查看是否存在误上传公钥的情况。

4. 加强 Redis 监控,及时发现任何异常行为。

5. 及时更新 Redis 版本,避免已知漏洞的攻击。

下面是一个简单的 Python 脚本,用于检查 Redis 配置文件中是否有 ssh-authorized-keys 规则:

import re
import os

ssh_auth_keys_pattern = re.compile("""^\s*ssh-authorized-keys\s+(.*)\s*$""")
redis_conf_path = "/etc/redis/redis.conf"
with open(redis_conf_path, "r") as fp:
content = fp.read()
ssh_auth_keys_match = ssh_auth_keys_pattern.search(content)
if ssh_auth_keys_match:
print("WARNING: Redis ssh-authorized-keys found in {0}".format(redis_conf_path))
print(ssh_auth_keys_match.group(1))

如果运行上述脚本后输出了警告信息,说明存在 Redis 存在配置风险。此时,管理员需要立即修改 Redis 配置文件以确保 Redis 安全。

Redis 是一种强大的内存数据库,但在使用时需要注意安全性。管理员们需要及时更新 Redis 版本,限制 Redis 访问权限,加强 Redis 监控等措施,以确保 Redis 不被攻击者滥用。

成都服务器租用选创新互联,先试用再开通。
创新互联(www.cdcxhl.com)提供简单好用,价格厚道的香港/美国云服务器和独立服务器。物理服务器托管租用:四川成都、绵阳、重庆、贵阳机房服务器托管租用。

分享文章:Redis 危险未经授权上传公钥(redis未授权上传公钥)
标题来源:http://www.mswzjz.cn/qtweb/news20/204220.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能,是专注品牌与效果的网络营销公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 贝锐智能