Redis緩存數據庫加固措施有哪些

今天小編給大家分享一下Redis緩存數據庫加固措施有哪些的相關知識點，內容詳細，邏輯清晰，相信大部分人都還太了解這方面的知識，所以分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后有所收獲，下面我們一起來了解一下吧。

敏感數據與加密保護

1.密碼保存(重要)

安全問題：原生Redis服務端密碼requirepass和masterauth是明文保存到redis.conf。

解決方案: 服務端密碼采用PBKDF2加密后保存到redis.conf。

考慮到性能問題，每次認證都用PBKDF2會比較耗時,經過評審，采用在首次認證成功后，內存采用SHA256緩存，后續的請求優先使用SHA256校驗。

2.支持秘鑰替換(重要)

安全問題：涉及加解密的秘鑰不能寫死到代碼中。

解決方案: 秘鑰支持定期替換。

?redis服務端redis-server:

配置文件增加配置項：cipher-dir

配置為redis_shared.key和root.key所在的文件夾的全路徑，例如：cipher-dir /opt/redis/etc/cipher

?redis客戶端：redis-cli

添加參數-cipherdir，指向redis_shared.key和root.key所在的文件夾的全路徑

例如：redis-cli -h 127.0.0.1 -cipherdir /opt/redis/etc/cipher -a sessionrdb@dbuser@Changeme_123 -p 32091

?redis客戶端SDK：jedis*.jar

同一個進程內,Jedis接口為string, dbname@user@pwd，因為第三方接口(類似Jdbc)，無法加密。

3.密碼傳輸(重要)

安全問題：原生Redis通過config get命令可能獲取到服務端敏感信息。

解決方案：禁止將口令等敏感信息傳送到客戶端，因此需要禁掉config get requirepas/masterauth/requireuserpass等功能。

4.密碼修改(重要)

安全問題：修改密碼明文傳輸:config set masterauth pwd

解決方案：Redis內存保存明文密碼問題: masterauth 使用AES128加密，密碼采用AES128保存

口令安全

1.產品缺省啟用數據庫口令復雜度檢查功能

安全問題：Redis修改密碼沒有復雜度檢查。

解決方案：提供單獨的Redis修改工具來修改密碼，特別注意以下幾點：

1．進行口令復雜度檢查。

2．在輸入錯誤的用戶名或密碼時，不能出現類似于“密碼錯誤”、“用戶名不存在”之類的過于明確的原因提示信息，以防止攻擊者用于猜解系統用戶名/口令。

3．修改密碼要校驗老密碼。

4．修改數據庫密碼不能和用戶名一樣。

5．交互式密碼修改時要隱藏密碼。

6．在文檔中建議通過交互式修改密碼。

2.防暴力破解,配置賬戶登錄失敗嘗試次數

安全問題：Redis原生版本存在暴力破解情況。

解決方案：最大失敗次數：maxauthfailtimes（單位 次，有效范圍(0,10萬]，默認值1萬）

說明：該配置項只支持在啟動時redis.conf配置，不支持動態修改,屏蔽掉對應config set。

不支持設置為0：表示不鎖定任何IP。

3.配置賬戶鎖定后自動解鎖時間

鑒權失敗鎖定時間：authfaillocktime（單位分鐘，有效范圍[0~999]，默認值10）

設置為0時，表示永久鎖定。

說明: 該配置項只支持在啟動時redis.conf配置，不支持動態修改,屏蔽掉對應config set。

4.查看鎖定IP

問題：IP鎖定后需要查看被鎖定IP。

解決方案：

只有管理員可以查看已經鎖定的IP列表，分隔符為英文冒號（:）
示例1：config get lockedips
返回：10.67.147.111;10.67.147.112;
示例2：config get lockedips
返回：10.67.147.111;
說明：不支持config set lockedips，如果強制執行，返回錯誤：ERR Unsupported CONFIG parameter: lockedips

5.手工鎖定IP的解除

只有管理員可以執行命令解鎖鎖定的IP，只支持解鎖單個IP或者解鎖全部IP
解決方案：

示例1，解鎖單個IP：config set unlockips 10.67.147.111
示例2，解鎖所有IP：config set unlockips “all”
說明：不支持config get unlockips，如果強制執行，返回空，redis-cli提示：(empty list or set)
如果參數中的IP沒有出現過異常，會返回解鎖失敗，例如：
(error) ERR Invalid argument '10.67.147.111' for CONFIG SET 'unlockips'

執行手動解鎖，記錄trace，例如：
例如：26 Dec 03:15:19.958 * 10.67.147.113 unlocked by 10.67.147.111:59417日志審計

6.安全審計

1.Redis自身支持日志記錄到系統日志，如/var/log/localmessage。但需要通過在redis.conf進行如下配置：

syslog-enabled yes

syslog-ident redis

syslog-facility local0

2.客戶端登錄，記錄客戶端IP，賬號等信息。

3.相關維護操作必須有詳細的日志記錄。

示例: 29118:S 26 Nov 11:19:29.100 * The readdbuser logged in successfully;10.145.93.119:52817；

7.操作日志轉儲

安全問題：官方版本Redis日志不會轉儲，長時間運行可能會把磁盤占滿。

解決方案：單獨運行tracemonitor進程(python版),定期管理Redis日志文件大小，主要是日志壓縮和定期刪除，避免占用過多磁盤。

說明：目前平臺默認60秒檢測一次，日志達到20M壓縮，日志個數最大50個。

以上就是“Redis緩存數據庫加固措施有哪些”這篇文章的所有內容，感謝各位的閱讀！相信大家閱讀完這篇文章都有很大的收獲，小編每天都會為大家更新不同的知識，如果還想學習更多的知識，請關注億速云行業資訊頻道。