本文檔從以下幾點提供了關(guān)于Redis安全主題的介紹：Redis提供的訪問控制，代碼安全問題，通過外部的惡意輸入觸發(fā)的攻擊和其它類似的主題也包含在內(nèi)。

Redis常規(guī)安全模式

Redis被設(shè)計成僅有可信環(huán)境下的可信用戶才可以訪問。這意味著將Redis實例直接暴露在網(wǎng)絡(luò)上或者讓不可信用戶可以直接訪問Redis的tcp端口或Unix套接字，是不安全的。

正常情況下，使用Redis的web應(yīng)用程序是將Redis作為數(shù)據(jù)庫，緩存，消息系統(tǒng)，網(wǎng)站的前端用戶將會查詢Redis來生成頁面，或者執(zhí)行所請求的操作，或者被web應(yīng)用程序用戶所觸發(fā)。

這種情況下，web應(yīng)用程序需要對不可信的用戶(訪問web應(yīng)用程序的用戶瀏覽器)訪問Redis進(jìn)行處理。

這是個特殊的例子，但是，正常情況下，對Redis的非法訪問需要通過實現(xiàn)ACLs，驗證用戶輸入和決定Redis實例上可以執(zhí)行哪些操作這些方式來控制。

總而言之，Redis并沒有最大地去優(yōu)化安全方面，而是盡最大可能去優(yōu)化高性能和易用性。

網(wǎng)絡(luò)安全

僅有可信的網(wǎng)絡(luò)用戶才可以訪問Redis的端口，因此運行Redis的服務(wù)器應(yīng)該只能被用Redis實現(xiàn)的應(yīng)用程序的計算機直接訪問。

一般情況下一臺直接暴露在Internet的計算機，例如一個虛擬化Linux實例(Linode, EC2,…)，防火墻應(yīng)該防止外部用戶訪問它的redis端口。用戶仍可以通過本地接口來訪問Redis。

記住在redis.conf文件中增加下面這一行配置就可以把Redis綁定在單個接口上。

bind 127.0.0.1

不禁止外部訪問redis的話，將會產(chǎn)生非常嚴(yán)重的后果。比如，一個FLUSHALL操作就可以當(dāng)做外部攻擊來刪除Redis上的所有數(shù)據(jù)。

Notes:

這種情況將只有部署redis-server機器上運行的應(yīng)用程序可以訪問，其它機器訪問被拒絕

認(rèn)證的特性

雖然Redis沒有嘗試去實現(xiàn)訪問控制，但是提供了一個輕量級的認(rèn)證方式，可以編輯redis.conf文件來啟用。

當(dāng)認(rèn)證授權(quán)方式啟用后，Redis將會拒絕來自沒有認(rèn)證的用戶的任何查詢。一個客戶端可以通過發(fā)送AUTH命令并帶上密碼來給自己授權(quán)。

這個密碼由系統(tǒng)管理員在redis.conf文件里面用明文設(shè)置，它需要足夠長以應(yīng)對暴力攻擊，這樣子設(shè)置有以下兩個原因：

Redis的查詢速度非常快。外部用戶每秒可以嘗試非常多個密碼。

Redis的密碼存儲在redis.conf文件中和存儲在客戶端的配置中，因此系統(tǒng)管理員沒必要去記住它，因此可以設(shè)置得非常長。

認(rèn)證層的目標(biāo)是提供多一層的保護(hù)。假如防火墻或者其它任何系統(tǒng)防護(hù)攻擊失敗的話，外部客戶端如果沒有認(rèn)證密碼的話將依然無法訪問Redis實例。

AUTH命令就像其它Redis命令一樣，是通過非加密方式發(fā)送的，因此無法防止擁有足夠的訪問網(wǎng)絡(luò)權(quán)限的攻擊者進(jìn)行竊聽。 數(shù)據(jù)加密支持

Redis并不支持加密。為了實現(xiàn)在網(wǎng)絡(luò)上或者其它非可信網(wǎng)絡(luò)訪問Redis實例，需要實現(xiàn)新增的保護(hù)層，例如SSL代理。

Notes:

################################## SECURITY ###################################

# Require clients to issue AUTH <PASSWORD> before processing any other

# commands.? This might be useful in environments in which you do not trust

# others with access to the host running redis-server.

#

# This should stay commented out for backward compatibility and because most

# people do not need auth (e.g. they run their own servers).

#

# Warning: since Redis is pretty fast an outside user can try up to

# 150k passwords per second against a good box. This means that you should

# use a very strong password otherwise it will be very easy to break.

#

requirepass foobared

restart server后，啟動redis-cli，需要進(jìn)行auth,如下

27.0.0.1:6379> auth foobared

OK

127.0.0.1:6379> get foo

"bar"

禁用的特殊命令

在Redis中可以禁用命令或者將它們重命名成難以推測的名稱，這樣子普通用戶就只能使用部分命令了。

例如，一個虛擬化的服務(wù)器提供商可能提供管理Redis實例的服務(wù)。在這種情況下，普通用戶可能不被允許調(diào)用CONFIG命令去修改實例的配置，但是能夠提供刪除實例的系統(tǒng)需要支持修改配置。

在這種情況下，你可以從命令表中重命名命令或者禁用命令。這個特性可以在redis.conf文件中進(jìn)行配置。例如：

rename-command CONFIG b840fc02d524045429941cc15f59e41cb7be6c52

在上面這個例子中，CONFIG命令被重命名成一個不好猜測的名稱。把命令重命名成一個空字符串可以禁用掉該命令，例如下面這個例子：

rename-command CONFIG ""

Eg:

redis.conf

rename-command set settest

啟動server后，如下：

127.0.0.1:6379> auth foobared

OK

127.0.0.1:6379> get foo

"bar"

127.0.0.1:6379> set foo

(error) ERR unknown command `set`, with args beginning with: `foo`,?

127.0.0.1:6379> settest foo3 bar3

OK

外部客戶端通過仔細(xì)構(gòu)造的輸入觸發(fā)的攻擊

即便沒有外部訪問權(quán)限，也有種攻擊可以讓攻擊者從外部觸發(fā)。例如一些攻擊者有能力向Redis中插入數(shù)據(jù)，觸發(fā)Redis內(nèi)部數(shù)據(jù)結(jié)構(gòu)中最差的算法復(fù)雜度，

例如一個攻擊者可以通過提交表單提交大量一樣的字符串到哈希表里，使得 O(1) 的算法復(fù)雜度(平均時間)達(dá)到最差的O(N) ，Redis將需要更多的CPU來處理，到最后會導(dǎo)致無法提供服務(wù)

為了防范這類特殊的攻擊，redis的哈希函數(shù)使用per-excution的偽隨機種子。

Redis用qsort算法來實現(xiàn)SORT命令。當(dāng)前這個算法還不算隨機的，所以通過有意構(gòu)造輸入可能引發(fā)最糟糕情況的算法復(fù)雜度。

字符串轉(zhuǎn)義和NoSQL注入

Redis的協(xié)議沒有字符串轉(zhuǎn)移的概念，因此一般情況下普通客戶端無法實現(xiàn)注入的。該協(xié)議采用二進(jìn)制安全的前綴長度字符串。

通過EVAL和EVALSHA命令運行Lua腳本也是安全的。

雖然這是個很奇怪的用法，應(yīng)用程序應(yīng)避免使用不明來源的字符串來寫Lua腳本。

代碼安全

在傳統(tǒng)架構(gòu)的Redis中，客戶端是可以使用全部命令的，但是訪問redis實例時是沒有能力控制運行著Redis的系統(tǒng)的。

本質(zhì)上，Redis使用一直的最好的編程方法來寫安全的代碼，防止出現(xiàn)緩存溢出，格式錯誤和其他內(nèi)存損壞問題。但是，使用CONFIG命令修改服務(wù)器配置的能力使得用戶可以改變程序的工作目錄和備份文件的名字。這讓用戶可以將RDB文件寫在任意路徑，這個安全問題容易引起不受信任的代碼在Redis上運行。

Redis不需要root權(quán)限來運行，建議使用僅能運行redis的用戶運行。Redis的作者正在調(diào)查給Redis增加一個新參數(shù)來防止CONFIG SET/GET dir和其它命令運行時配置指令的可能。這可以防止客戶端強制要求服務(wù)器在任意位置寫文件。

Eg:

127.0.0.1:6379> CONFIG GET maxclients

1) "maxclients"

2) "10000"

127.0.0.1:6379> CONFIG SET maxclients 10

OK

127.0.0.1:6379> CONFIG GET maxclients

1) "maxclients"

2) "10"