Was sind die Verstärkungsmaßnahmen für die Redis-Cache-Datenbank?

Sensible Daten und Verschlüsselungsschutz

1. Passwortspeicherung (wichtig)

Sicherheitsproblem: Die nativen Redis-Serverpasswörter requirepass und masterauth werden in redis.conf im Klartext gespeichert.

Lösung: Verschlüsseln Sie das Serverkennwort mit PBKDF2 und speichern Sie es in redis.conf.

Angesichts der Leistungsprobleme wäre es zeitaufwändiger, PBKDF2 für jede Authentifizierung zu verwenden. Nach der Überprüfung wird der Speicher nach erfolgreicher erster Authentifizierung mit SHA256 zwischengespeichert und nachfolgende Anforderungen werden zuerst mit SHA256 überprüft.

2. Schlüsselaustausch unterstützen (wichtig)

Sicherheitsprobleme: Die bei der Ver- und Entschlüsselung beteiligten geheimen Schlüssel können nicht fest im Code codiert werden.

Lösung: Der geheime Schlüssel unterstützt den regelmäßigen Austausch.

➤redis server redis-server:

Konfigurationselement zur Konfigurationsdatei hinzufügen: cipher-dir

Konfigurieren Sie den vollständigen Pfad des Ordners, in dem sich redis_shared.key und root.key befinden, zum Beispiel: cipher-dir /opt /redis/ etc/cipher

➤Redis-Client: redis-cli

Fügen Sie den Parameter -cipherdir hinzu, der auf den vollständigen Pfad des Ordners zeigt, in dem sich redis_shared.key und root.key befinden

Zum Beispiel: redis-cli -h 127.0.0.1 -cipherdir / opt/redis/etc/cipher -a sessionrdb@dbuser@Changeme_123 -p 32091

➤redis client SDK: jedis*.jar

Im gleichen Prozess ist die Jedis-Schnittstelle eine Zeichenfolge, dbname@user @pwd, da die Schnittstelle eines Drittanbieters (ähnlich JDBC) nicht verschlüsselt werden kann.

3. Passwortübertragung (wichtig)

Sicherheitsproblem: Native Redis erhält möglicherweise vertrauliche serverseitige Informationen über den Befehl config get.

Lösung: Es ist verboten, sensible Informationen wie Passwörter an den Client zu übertragen, daher müssen Funktionen wie config get requirepas/masterauth/requireuserpass deaktiviert werden.

4. Passwortänderung (wichtig)

Sicherheitsproblem: Passwortübertragung im Klartext ändern: config set masterauth pwd

Lösung: Redis-Speicher speichert Klartextpasswortproblem: Masterauth verwendet AES128-Verschlüsselung, Passwörter werden in AES128 gespeichert

Passwort Sicherheit

1. Das Produkt aktiviert standardmäßig die Funktion zur Überprüfung der Datenbankkennwortkomplexität

Sicherheitsproblem: Es gibt keine Komplexitätsprüfung für Redis-Kennwortänderungen.

Lösung: Stellen Sie ein separates Redis-Modifikationstool zum Ändern des Passworts bereit. Achten Sie dabei besonders auf die folgenden Punkte:

1. Führen Sie eine Überprüfung der Passwortkomplexität durch.

2. Wenn Sie einen falschen Benutzernamen oder ein falsches Passwort eingeben, werden keine allzu klaren Begründungsaufforderungen wie „Passwort ist falsch“ oder „Benutzername existiert nicht“ angezeigt, um zu verhindern, dass Angreifer den Systembenutzernamen/das Passwort erraten.

3. Um das Passwort zu ändern, überprüfen Sie das alte Passwort.

4． Das Datenbankkennwort darf nicht mit dem Benutzernamen identisch sein.

5. Verstecken Sie das Passwort, wenn Sie das Passwort interaktiv ändern.

6． In der Dokumentation wird empfohlen, das Passwort interaktiv zu ändern.

2. Um Brute-Force-Cracking zu verhindern, konfigurieren Sie die Anzahl der fehlgeschlagenen Kontoanmeldeversuche.

Sicherheitsproblem: Die native Version von Redis verfügt über Brute-Force-Cracking.

Lösung: Maximale Anzahl von Fehlern: maxauthfailtimes (Zeiteinheit, gültiger Bereich (0, 100.000], Standardwert 10.000)

Diese Einstellung kann nur beim Start über die Datei redis.conf konfiguriert werden und kann nicht durch dynamische Änderung erreicht werden. Der entsprechende Konfigurationssatzvorgang ist deaktiviert.

Unterstützt die Einstellung 0 nicht: bedeutet, dass keine IP gesperrt wird.

Konfigurieren Sie die automatische Entsperrzeit, nachdem das Konto gesperrt wurde. gültiger Bereich [0~999], Standardwert 10)

Wenn auf 0 gesetzt, bedeutet dies eine dauerhafte Sperre

Hinweis: Dieses Konfigurationselement unterstützt nur die Konfiguration von redis.conf beim Start und keine dynamische Änderung des entsprechenden Konfigurationssatzes 4. Die gesperrte IP anzeigen

Problem: Nachdem die IP gesperrt wurde, müssen Sie die gesperrte IP-Liste anzeigen

Nur der Administrator kann die gesperrte IP-Liste anzeigen, das Trennzeichen ist ein englischer Doppelpunkt (. :)

Beispiel 1: config get. Lockedips

Gibt zurück: 10.67.147.111;10.67.147.112;

Beispiel 2: config get Lockedips

Gibt zurück: 10.67.147.111;

Hinweis: Config Set Lockedips wird nicht unterstützt. Wenn es erzwungen wird, wird ein Fehler angezeigt wird zurückgegeben: ERR Nicht unterstützter CONFIG-Parameter: lockips

5. Manuelles Entsperren von IPs

Nur Administratoren können Befehle ausführen, um gesperrte IPs zu entsperren. Lösung:

Beispiel 1, Entsperren von a einzelne IP: config set unlockips 10.67.147.111

Beispiel 2. Alle IPs entsperren: config set unlockips „all“

Hinweis: config get unlockips wird nicht unterstützt, wenn die Ausführung erzwungen wird, wird es leer zurückgegeben und redis-cli fordert auf: ( leere Liste oder Satz)

Wenn es keine Ausnahme in der IP im Parameter gibt, wird ein Entsperrungsfehler zurückgegeben, zum Beispiel:

(Fehler) ERR Ungültiges Argument '10.67.147.111' für CONFIG SET 'unlockips'

Manuelles Entsperren durchführen und Aufzeichnungsverfolgung, zum Beispiel:

Zum Beispiel: 26. Dezember 03:15:19.958 * 10.67.147.113 freigeschaltet von 10.67.147.111:59417 Protokollprüfung

6. Sicherheitsprüfung

Redis selbst unterstützt die Protokollierung im Systemprotokoll, z /var/log/localmessage, muss aber wie folgt in redis.conf konfiguriert werden:

syslog-ident redis

syslog-facility local0

2. Konto und andere Informationen.

3. Für relevante Wartungsarbeiten müssen detaillierte Protokollaufzeichnungen vorliegen.

Beispiel: 29118:S 26 Nov 11:19:29.100 * Der readdbuser hat sich erfolgreich angemeldet;10.145.93.119:52817;

7. Vorgangsprotokoll-Dump

Sicherheitsproblem: Die offizielle Version des Redis-Protokolls wird nicht ausgegeben. Eine lange Laufzeit kann die Festplatte füllen.

Lösung: Führen Sie den Tracemonitor-Prozess (Python-Version) separat aus und verwalten Sie regelmäßig die Größe der Redis-Protokolldatei, hauptsächlich Protokollkomprimierung und regelmäßiges Löschen, um zu vermeiden, dass zu viel Speicherplatz beansprucht wird.

Hinweis: Derzeit erkennt die Plattform standardmäßig alle 60 Sekunden, die Protokolle werden auf 20 MB komprimiert und die maximale Anzahl an Protokollen beträgt 50.

Das obige ist der detaillierte Inhalt vonWas sind die Verstärkungsmaßnahmen für die Redis-Cache-Datenbank?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!