视频
13 年后 – Redis 需要新的架构吗?
了解更多
Redis 8 来了——而且它是开源的
了解更多
分享
最近的安全报告指出了对配置错误的 Redis 数据库发起攻击的风险。以下是保护您的 Redis 部署的五个基本步骤。
最近,网络研究社区强调了攻击者如何一直在滥用配置不安全的 Redis 数据库。作为世界上使用最广泛的 NoSQL 数据库之一,Redis 庞大的安装量(包括开源版和商业版)使其成为攻击者的自然目标。
然而,Redis 用户可以采取一些基本步骤来降低遭受攻击的风险,例如最近由 AquaSec 识别的 HeadCrab 恶意软件攻击活动。
需要注意的是,没有迹象表明 Redis Enterprise 软件或 Redis Cloud 服务受到了这些攻击的影响。
自版本 3.2.0 起,当 Redis 开源版 (Redis OSS) 在默认配置下运行且无需任何密码即可访问时,它会进入一个称为保护模式(protected mode)的特殊模式。在此模式下,Redis 仅回复来自回环接口(loopback interfaces)的查询。当客户端从其他地址连接时,Redis OSS 会回复一个错误,解释问题并说明如何正确配置 Redis。
我们期望保护模式能减少因未受保护的 Redis 实例在没有适当管理的情况下运行而引起的安全问题。但系统管理员可以忽略 Redis 发出的错误;这些管理员可以禁用保护模式或手动绑定所有接口。看起来有大量这类部署正成为 HeadCrab 等攻击的目标。
以下是一些关于如何开始保护您的 Redis 部署的基本建议:
