Redis默认情况下,会绑定在0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功在Redis服务器上写入公钥,进而可以使用对应私钥直接登录目标服务器。
起因
当看到redis漏洞描述的时候,且自己线上正式环境redis都有设置密码且是内网才能访问,所以是没问题的。
但当下午某台服务器突然上不去的时候,才想起原来测试redis机开放外网且没设密码,所以就中招了。立马重置密码,然后修改测试redis配置。
建议
- 所有redis都需要设置密码
- 建议修改默认端口6379
- 配置bind选项,限定可连接redis服务器的ip
总结
不管正式还是测试环境,都应该考虑安全问题,降低风险