百度360必应搜狗淘宝本站头条
php redisredis 命令redis 锁redis 主从redis 删除
当前位置:网站首页 > 技术教程 > 正文

Redis 遇漏洞尴尬,谁将成为接盘侠?

mhr18 2024-12-02 17:50 16 浏览 0 评论

近日,Sebug 网站公布了 Redis 未授权访问缺陷的详细漏洞信息,这个 Redis 未授权访问缺陷可轻易导致系统被黑。作为企业生命线的“数据”,其对企业的重要性无需赘述。

针对如此严重的安全漏洞,UCloud已向用户发布了安全公告,并提出了3项建议:1、Redis只监听内网地址,如果需要对公网开放,请限制访问源IP。2、以普通用户身份启动Redis。3、增加Redis密码强度。

本文,我们来了解这个Redis 未授权访问缺陷,并为大家提供另外一个解决方案。

其实,Redis的这个漏洞可以简单的用三句话来阐述:

  1. 找到入口:用很低的代价找到进入Redis的路径;

  2. 合法化身份:将自己的公(身)钥(份)混入Redis,使之合法化,而且还是管理员;

  3. 大门进入:既然你是身份合法的管理员,还有什么能阻挡你进入Redis呢?

所以,当然要从“入口”说起了。

这里,借助最近的[碟中谍5:神秘国度]阿汤哥潜入水底替换特工档案文件的桥段,大家可以更好地理解这个漏洞原理。

而进入Redis的“入口”,其实是0.0.0.0:6379,因为Redis 默认情况下,会绑定在 0.0.0.0这个IP的6379端口,如果该机器配置有外网IP,用户则就将Redis服务暴露到公网上,即为黑客提供了入口。

那么,如果在没有开启认证的情况下,“入口”可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。

Redis的攻击者为了让自己的身份合法,并不是替换原有数据,而是将自己的身份资料和身份合法的人的资料放在一起,目的都是为了让自己的身份合法。

具体的做法就是: 在未授权访问Redis的情况下,可以利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以直接登录目标服务器。

同样,“身份合法”的攻击者可以直接登录目标服务器执行他所想要进行的操作。

到底谁来接盘Redis

◆◆UMem

看看这个拥有秘密武器“UMem”的用户为什么淡定?又是如何粉碎这个现实版的“碟中谍”的呢?

据说,只用了两招——“堵”和“挡”。

堵——堵住入口,即无入口。

UMem无公网IP,外网机器无法访问UMem,只能通过UHost机器内网进行访问,拒绝所有公网,做到No Windows No Troubles。

挡:挡住一切特殊命令,即拒绝危险操作。

UMem前端有接入层,接入层屏蔽了config等可能引起安全漏洞的所有命令,挡住了危险。

除了上述提到的大招,UMem还有你需要的特性:

  1. 数据双份备份 ,数据更安全

  2. 主库宕机后,服务能够自动切换到从库 服务更可靠

  3. 支持在线扩容,容量无上限,无需提前规划,按需使用无需担心容量不足。

想来试试UMem?注意,UMem来自UCloud家族,点击阅读原文查看UMem详情。

相关推荐

【推荐】一个开源免费、AI 驱动的智能数据管理系统,支持多数据库

如果您对源码&技术感兴趣,请点赞+收藏+转发+关注,大家的支持是我分享最大的动力!!!.前言在当今数据驱动的时代,高效、智能地管理数据已成为企业和个人不可或缺的能力。为了满足这一需求,我们推出了这款开...

Pure Storage推出统一数据管理云平台及新闪存阵列

PureStorage公司今日推出企业数据云(EnterpriseDataCloud),称其为组织在混合环境中存储、管理和使用数据方式的全面架构升级。该公司表示,EDC使组织能够在本地、云端和混...

对Java学习的10条建议(对java课程的建议)

不少Java的初学者一开始都是信心满满准备迎接挑战,但是经过一段时间的学习之后,多少都会碰到各种挫败,以下北风网就总结一些对于初学者非常有用的建议,希望能够给他们解决现实中的问题。Java编程的准备:...

SQLShift 重大更新:Oracle→PostgreSQL 存储过程转换功能上线!

官网:https://sqlshift.cn/6月,SQLShift迎来重大版本更新!作为国内首个支持Oracle->OceanBase存储过程智能转换的工具,SQLShift在过去一...

JDK21有没有什么稳定、简单又强势的特性?

佳未阿里云开发者2025年03月05日08:30浙江阿里妹导读这篇文章主要介绍了Java虚拟线程的发展及其在AJDK中的实现和优化。阅前声明:本文介绍的内容基于AJDK21.0.5[1]以及以上...

「松勤软件测试」网站总出现404 bug?总结8个原因,不信解决不了

在进行网站测试的时候,有没有碰到过网站崩溃,打不开,出现404错误等各种现象,如果你碰到了,那么恭喜你,你的网站出问题了,是什么原因导致网站出问题呢,根据松勤软件测试的总结如下:01数据库中的表空间不...

Java面试题及答案最全总结(2025版)

大家好,我是Java面试陪考员最近很多小伙伴在忙着找工作,给大家整理了一份非常全面的Java面试题及答案。涉及的内容非常全面,包含:Spring、MySQL、JVM、Redis、Linux、Sprin...

数据库日常运维工作内容(数据库日常运维 工作内容)

#数据库日常运维工作包括哪些内容?#数据库日常运维工作是一个涵盖多个层面的综合性任务,以下是详细的分类和内容说明:一、数据库运维核心工作监控与告警性能监控:实时监控CPU、内存、I/O、连接数、锁等待...

分布式之系统底层原理(上)(底层分布式技术)

作者:allanpan,腾讯IEG高级后台工程师导言分布式事务是分布式系统必不可少的组成部分,基本上只要实现一个分布式系统就逃不开对分布式事务的支持。本文从分布式事务这个概念切入,尝试对分布式事务...

oracle 死锁了怎么办?kill 进程 直接上干货

1、查看死锁是否存在selectusername,lockwait,status,machine,programfromv$sessionwheresidin(selectsession...

SpringBoot 各种分页查询方式详解(全网最全)

一、分页查询基础概念与原理1.1什么是分页查询分页查询是指将大量数据分割成多个小块(页)进行展示的技术,它是现代Web应用中必不可少的功能。想象一下你去图书馆找书,如果所有书都堆在一张桌子上,你很难...

《战场兄弟》全事件攻略 一般事件合同事件红装及隐藏职业攻略

《战场兄弟》全事件攻略,一般事件合同事件红装及隐藏职业攻略。《战场兄弟》事件奖励,事件条件。《战场兄弟》是OverhypeStudios制作发行的一款由xcom和桌游为灵感来源,以中世纪、低魔奇幻为...

LoadRunner(loadrunner录制不到脚本)

一、核心组件与工作流程LoadRunner性能测试工具-并发测试-正版软件下载-使用教程-价格-官方代理商的架构围绕三大核心组件构建,形成完整测试闭环:VirtualUserGenerator(...

Redis数据类型介绍(redis 数据类型)

介绍Redis支持五种数据类型:String(字符串),Hash(哈希),List(列表),Set(集合)及Zset(sortedset:有序集合)。1、字符串类型概述1.1、数据类型Redis支持...

RMAN备份监控及优化总结(rman备份原理)

今天主要介绍一下如何对RMAN备份监控及优化,这里就不讲rman备份的一些原理了,仅供参考。一、监控RMAN备份1、确定备份源与备份设备的最大速度从磁盘读的速度和磁带写的带度、备份的速度不可能超出这两...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表