本文檔從以下幾點(diǎn)提供了關(guān)于Redis安全主題的介紹：Redis提供的訪問控制棍辕，代碼安全問題闰渔，通過外部的惡意輸入觸發(fā)的攻擊和其它類似的主題也包含在內(nèi)席函。

Redis常規(guī)安全模式

Redis被設(shè)計(jì)成僅有可信環(huán)境下的可信用戶才可以訪問。這意味著將Redis實(shí)例直接暴露在網(wǎng)絡(luò)上或者讓不可信用戶可以直接訪問Redis的tcp端口或Unix套接字冈涧，是不安全的茂附。

正常情況下正蛙，使用Redis的web應(yīng)用程序是將Redis作為數(shù)據(jù)庫(kù)，緩存营曼，消息系統(tǒng)乒验，網(wǎng)站的前端用戶將會(huì)查詢Redis來生成頁(yè)面，或者執(zhí)行所請(qǐng)求的操作蒂阱，或者被web應(yīng)用程序用戶所觸發(fā)锻全。

這種情況下，web應(yīng)用程序需要對(duì)不可信的用戶(訪問web應(yīng)用程序的用戶瀏覽器)訪問Redis進(jìn)行處理录煤。

這是個(gè)特殊的例子鳄厌，但是，正常情況下妈踊，對(duì)Redis的非法訪問需要通過實(shí)現(xiàn)ACLs了嚎，驗(yàn)證用戶輸入和決定Redis實(shí)例上可以執(zhí)行哪些操作這些方式來控制。

總而言之廊营，Redis并沒有最大地去優(yōu)化安全方面歪泳，而是盡最大可能去優(yōu)化高性能和易用性。

網(wǎng)絡(luò)安全

僅有可信的網(wǎng)絡(luò)用戶才可以訪問Redis的端口露筒，因此運(yùn)行Redis的服務(wù)器應(yīng)該只能被用Redis實(shí)現(xiàn)的應(yīng)用程序的計(jì)算機(jī)直接訪問呐伞。

一般情況下一臺(tái)直接暴露在Internet的計(jì)算機(jī)，例如一個(gè)虛擬化Linux實(shí)例(Linode, EC2,…)邀窃，防火墻應(yīng)該防止外部用戶訪問它的redis端口荸哟。用戶仍可以通過本地接口來訪問Redis。

記住在redis.conf文件中增加下面這一行配置就可以把Redis綁定在單個(gè)接口上瞬捕。

bind 127.0.0.1

不禁止外部訪問redis的話鞍历，將會(huì)產(chǎn)生非常嚴(yán)重的后果。比如肪虎，一個(gè)FLUSHALL操作就可以當(dāng)做外部攻擊來刪除Redis上的所有數(shù)據(jù)劣砍。

Notes:

這種情況將只有部署redis-server機(jī)器上運(yùn)行的應(yīng)用程序可以訪問，其它機(jī)器訪問被拒絕

認(rèn)證的特性

雖然Redis沒有嘗試去實(shí)現(xiàn)訪問控制扇救，但是提供了一個(gè)輕量級(jí)的認(rèn)證方式刑枝，可以編輯redis.conf文件來啟用。

當(dāng)認(rèn)證授權(quán)方式啟用后迅腔，Redis將會(huì)拒絕來自沒有認(rèn)證的用戶的任何查詢装畅。一個(gè)客戶端可以通過發(fā)送AUTH命令并帶上密碼來給自己授權(quán)。

這個(gè)密碼由系統(tǒng)管理員在redis.conf文件里面用明文設(shè)置沧烈，它需要足夠長(zhǎng)以應(yīng)對(duì)暴力攻擊掠兄，這樣子設(shè)置有以下兩個(gè)原因：

Redis的查詢速度非常快。外部用戶每秒可以嘗試非常多個(gè)密碼蚂夕。

Redis的密碼存儲(chǔ)在redis.conf文件中和存儲(chǔ)在客戶端的配置中迅诬，因此系統(tǒng)管理員沒必要去記住它，因此可以設(shè)置得非常長(zhǎng)婿牍。

認(rèn)證層的目標(biāo)是提供多一層的保護(hù)侈贷。假如防火墻或者其它任何系統(tǒng)防護(hù)攻擊失敗的話，外部客戶端如果沒有認(rèn)證密碼的話將依然無法訪問Redis實(shí)例等脂。

AUTH命令就像其它Redis命令一樣俏蛮，是通過非加密方式發(fā)送的，因此無法防止擁有足夠的訪問網(wǎng)絡(luò)權(quán)限的攻擊者進(jìn)行竊聽上遥。 數(shù)據(jù)加密支持

Redis并不支持加密嫁蛇。為了實(shí)現(xiàn)在網(wǎng)絡(luò)上或者其它非可信網(wǎng)絡(luò)訪問Redis實(shí)例，需要實(shí)現(xiàn)新增的保護(hù)層露该，例如SSL代理睬棚。

Notes:

################################## SECURITY ###################################

# Require clients to issue AUTH <PASSWORD> before processing any other

# commands.? This might be useful in environments in which you do not trust

# others with access to the host running redis-server.

#

# This should stay commented out for backward compatibility and because most

# people do not need auth (e.g. they run their own servers).

#

# Warning: since Redis is pretty fast an outside user can try up to

# 150k passwords per second against a good box. This means that you should

# use a very strong password otherwise it will be very easy to break.

#

requirepass foobared

restart server后，啟動(dòng)redis-cli解幼，需要進(jìn)行auth,如下

27.0.0.1:6379> auth foobared

OK

127.0.0.1:6379> get foo

"bar"

禁用的特殊命令

在Redis中可以禁用命令或者將它們重命名成難以推測(cè)的名稱抑党，這樣子普通用戶就只能使用部分命令了。

例如撵摆，一個(gè)虛擬化的服務(wù)器提供商可能提供管理Redis實(shí)例的服務(wù)底靠。在這種情況下，普通用戶可能不被允許調(diào)用CONFIG命令去修改實(shí)例的配置特铝，但是能夠提供刪除實(shí)例的系統(tǒng)需要支持修改配置暑中。

在這種情況下，你可以從命令表中重命名命令或者禁用命令鲫剿。這個(gè)特性可以在redis.conf文件中進(jìn)行配置鳄逾。例如：

rename-command CONFIG b840fc02d524045429941cc15f59e41cb7be6c52

在上面這個(gè)例子中，CONFIG命令被重命名成一個(gè)不好猜測(cè)的名稱灵莲。把命令重命名成一個(gè)空字符串可以禁用掉該命令雕凹，例如下面這個(gè)例子：

rename-command CONFIG ""

Eg:

redis.conf

rename-command set settest

啟動(dòng)server后，如下：

127.0.0.1:6379> auth foobared

OK

127.0.0.1:6379> get foo

"bar"

127.0.0.1:6379> set foo

(error) ERR unknown command `set`, with args beginning with: `foo`,?

127.0.0.1:6379> settest foo3 bar3

OK

外部客戶端通過仔細(xì)構(gòu)造的輸入觸發(fā)的攻擊

即便沒有外部訪問權(quán)限政冻，也有種攻擊可以讓攻擊者從外部觸發(fā)枚抵。例如一些攻擊者有能力向Redis中插入數(shù)據(jù)，觸發(fā)Redis內(nèi)部數(shù)據(jù)結(jié)構(gòu)中最差的算法復(fù)雜度明场，

例如一個(gè)攻擊者可以通過提交表單提交大量一樣的字符串到哈希表里汽摹，使得 O(1) 的算法復(fù)雜度(平均時(shí)間)達(dá)到最差的O(N) ，Redis將需要更多的CPU來處理苦锨，到最后會(huì)導(dǎo)致無法提供服務(wù)

為了防范這類特殊的攻擊逼泣，redis的哈希函數(shù)使用per-excution的偽隨機(jī)種子嫌套。

Redis用qsort算法來實(shí)現(xiàn)SORT命令。當(dāng)前這個(gè)算法還不算隨機(jī)的圾旨，所以通過有意構(gòu)造輸入可能引發(fā)最糟糕情況的算法復(fù)雜度。

字符串轉(zhuǎn)義和NoSQL注入

Redis的協(xié)議沒有字符串轉(zhuǎn)移的概念魏蔗，因此一般情況下普通客戶端無法實(shí)現(xiàn)注入的砍的。該協(xié)議采用二進(jìn)制安全的前綴長(zhǎng)度字符串。

通過EVAL和EVALSHA命令運(yùn)行Lua腳本也是安全的莺治。

雖然這是個(gè)很奇怪的用法廓鞠，應(yīng)用程序應(yīng)避免使用不明來源的字符串來寫Lua腳本。

代碼安全

在傳統(tǒng)架構(gòu)的Redis中谣旁，客戶端是可以使用全部命令的床佳，但是訪問redis實(shí)例時(shí)是沒有能力控制運(yùn)行著Redis的系統(tǒng)的。

本質(zhì)上榄审，Redis使用一直的最好的編程方法來寫安全的代碼砌们，防止出現(xiàn)緩存溢出，格式錯(cuò)誤和其他內(nèi)存損壞問題搁进。但是浪感，使用CONFIG命令修改服務(wù)器配置的能力使得用戶可以改變程序的工作目錄和備份文件的名字。這讓用戶可以將RDB文件寫在任意路徑饼问，這個(gè)安全問題容易引起不受信任的代碼在Redis上運(yùn)行影兽。

Redis不需要root權(quán)限來運(yùn)行，建議使用僅能運(yùn)行redis的用戶運(yùn)行莱革。Redis的作者正在調(diào)查給Redis增加一個(gè)新參數(shù)來防止CONFIG SET/GET dir和其它命令運(yùn)行時(shí)配置指令的可能峻堰。這可以防止客戶端強(qiáng)制要求服務(wù)器在任意位置寫文件。

Eg:

127.0.0.1:6379> CONFIG GET maxclients

1) "maxclients"

2) "10000"

127.0.0.1:6379> CONFIG SET maxclients 10

OK

127.0.0.1:6379> CONFIG GET maxclients

1) "maxclients"

2) "10"