安全的Redis
2015年11月,全球数万个Redis节点遭受到了攻击,所有数据都会被清除了,只有一个叫crackit的键存在,这个键的值很像一个公钥。
数据丢失对于很多Redis的开发者来说是致命的,经过相关机构的调查发现,被攻击的Redis有以下特点:
Redis所在的机器有外网IP
Redis以默认端口6379为启动端口,并且是对外网开放的。
Redis是以root用户启动的
Redis没有设置密码
Redis的bind设置为0.0.0.0或者""
攻击者充分利用Redis的dir和dbfilename两个配置可以利用config set动态设置,以及RDB持久化的特性,将自己的公钥写入到目标机器的/root/.ssh/authotriezed_keys文件中,从而实现了对目标机器的攻陷。
假设机器A是攻击者的机器(内网IP:10.10.xx.192),机器B是被攻击者机器(外网IP:123.16.xx.182),上面部署着一个满足上述五个特性的Redis,下面我们来模拟整个攻击过程:
1)首先确认当前(攻击前)机器A不能通过SSH访问机器B,因为没有权限。
2)由于机器B的外网对外开通了Redis的6379端口,所以可以直接连接到Redis上执行flushall操作,注意此事破坏性已经很大了。
3)在机器A生成公钥,并将公钥保存到一个文件my.pub中。
4)将键crackit的值设置为公钥。
5)将Redis的dir设置为/root/.ssh目录,dbfilename设置为authorized_keys,执行save命令生成RDB文件。此时机器B的/roor/.ssh/authorized_keys包含了攻击者的公钥,之后攻击者就可以“为所欲为”了。
6)此时机器A再通过SSH协议访问机器B,发现可以顺利登录,登录后可以观察/root/.ssh/authorized_keys,可以发现它就是RDB文件。
谁也不想自己的Redis以及机器就这样被攻击吧?本节我们来介绍如何让Redis足够安全。
Redis的设计目标是一个在内网运行的轻量级高性能键值服务,因为是在内网运行,所以对于安全方面没有做太多的工作,Redis值提供了简单的密码机制,并且没有做用户权限的相关划分。那么,在日常对于Redis的开发和运维中要注意哪些方面才能让Redis服务不仅能提供高效稳定的服务,还能保证在一个足够安全的网络环境下运行呢?下面将从7个方面进行介绍。
-
Redis密码机制
-
简单的密码机制
Redis提供了requirepass配置为Redis提供密码功能,如果添加这个配置,客户端就不能通过redis-cli -h {ip} -p {port}来执行命令。例如下面启动一个密码为hello_redis-devops的redis:
redis-server --requirepass hello_redis_devpos
此时通过redis-cli执行命令会受到没有权限的提示:
# redis-cli 127.0.0.1:6379> ping (error) NOAUTH Authentication required.
Redis提供了两种方式访问配置了密码的Redis:
- redis-cli -a参数。使用redis-cli连接Redis时,添加-a加密码的参数,如果密码正确就可以正常访问Redis了,具体操作如下:
# redis-cli -h 127.0.0.1 -p 6379 -a hello_redis_devops 127.0.0.1:6379> ping PONG
- auth命令。通过redis-cli连接后,执行auth加密码命令,如果密码正确就可以正常访问访问Redis了,具体操作如下:
# redis-cli 127.0.0.1:6379> auth hello_redis-devops OK 127.0.0.1:6379> ping PONG
-
运维建议
这种密码机制能在一定程度上保护Redis的安全,但是在使用requirepass时候要注意以下几点:
密码要足够复杂(64个字节以上),因为Redis的性能很高,如果密码比较单间,完全是可以在一段时间内通过暴力破解来破译密码。
如果是主从结构的Redis,不要忘记在从节点的配置中加入masterauth(master的密码)配置,否则会造成主从节点同步失效。
auth是通过明文进行传输的,所以也不是100%可靠,如果被攻击者劫持也相当危险。
-
-
伪装危险命令
-
引入rename-command
Redis中包含了很多“危险”命令,一旦错误使用或者误操作,后果不堪设想,例如如下命令:
keys:如果键值较多,存在阻塞Redis的可能性。
flushall/flushdb:数据全部被清除。
save:如果键值较多,存在阻塞Redis的可能性。
debug:例如debug reload会重启Redis。
config:config应该交给管理员使用。
shutdown:停止Redis。
理论上这些命令不应该给普通开发人员使用,那有没有什么好的方法能够防止这些危险命令被随意执行呢?Redis提供了rename-conmmand配置解决这个问题。下面直接用一个例子说明rename-command的作用。例如当前Redis包含了10000个键值对,现使用flushall将全部是数据清除:
127.0.0.1:6379> flushall OK `` 例如Redis添加如下配置: `rename-command flushall flushalltest` 那么执行flushall命令的话,会收到Redis不认识flushall的错误提示,说明我们成功地使用rename-command对flushall命令做了伪装:
127.0.0.1:6379> flushall
(error) ERR unknonwn command 'flushall'而如果执行flushalltest,那么就可以实现flushall的功能了,这就是rename-command的作用,管理员可以对认为比较危险的命令做rename-command处理。
-
没有免费的午餐
rename-command虽然对Redis的安全有一定帮助,但是天下并没有免费的午餐。使用了rename-command时可能会带来如下麻烦:
管理员要对自己的客户端进行修改,例如jedis.flushall()操作内部使用的是flushalll命令,如果用rename-command后需要修改为新的命令,有一定的开发和维护成本。
rename-command配置不支持config set,所以启动前一定要确定哪些命令需要使用rename-command。
如果AOF和RDB文件包含了rename-command之前的命令,Redis将无法启动,因为此时它识别不了rename-command之前的命令。
Redis源码中有一些命令是写死的,rename-command可能造成Redis无法正常工作。例如Sentinel节点在修改配置时直接使用了config命令,如果对config使用rename-command,会造成Redis Sentinel无法正常工作。
-
最佳实践
在使用rename-command的相关配置时,需要注意以下几点:
对于一些危险的命令(例如flushall),不管是内网还是外网,一律使用rename-command配置。
建议第一次配置Redis时,就应该配置rename-command,因为rename-command不支持config set。
如果涉及主从关系,一定要保持主从节点配置一致性,否则存在主从数据不一致的可能性。
-
-
防火墙
可以使用防火墙限制输入和输出的IP或者IP范围、端口或者端口范围,在比较成熟的公司都会对有waiwangIP的服务器做一些端口的限制,例如只允许80端口对外开放。因为一般来说,开放外网IP的服务器中Web服务器比较多,但通常存储服务器的端口无序对外开放,防火墙是一个限制外网访问Redis的必杀技。
-
bind
-
对于bing的错误认识
很多开发者在一开始看到bind这个配置是都是这么认为的:指定Redis只接收来自于某个网段IP的客户端请求。
但事实上bing指定的是Redis和哪个网卡进行绑定,和客户端是什么网段没有关系。ifconfig命令获取网卡信息包含了三个IP地址:
内网地址:10.10.xx.192
外网地址:220.181.xx.123
回环地址:127.0.0.1
如果当前Redis配置了bind 10.10.xx.192,那么Redis访问只能通过10.10.xx.192这块网卡进入,通过redis-cli -h 220.181.xx.123 -p 6379和本机redis-cli -h 128.0.0.1 -p 6379都无法连接到Redis。只能通过10.10.xx.192作为redis-cli的参数。
bind参数可以设置多个,例如下面配置表示当前Redis只接收来自10.10.xx.192和127.0.0.1的网络流量:
bind 10.10.xx.192 127.0.0.1
运维提示:Redis3.0中bind默认值为"",也就是不限制网卡的访问,但是Redis3.2中必须显示的配置bind 0.0.0.0才可以达到这种效果。
-
建议
经过上面的实验以及对于bind的认识,可以得出如下结论:
如果机器有外网IP,但是部署的Redis是给内部使用的,建议去掉外网网卡或者使用bind配置限制流量从外网进入。
如果客户端和Redis部署在一台机器上,可以使用回环地址127.0.0.1。
bind配置不支持config set,所以尽可能在第一次启动前配置好。
如果当前Redis没有配置密码,没有配置bind,那么只允许来自本机的访问,也就是相当于配置了bind 127.0.0.1。
-
-
定期备份数据
天有不测风云,假如有一天Redis真的被攻击了(清理了数据,关闭了进程),那么定期备份的数据能够在一定程度挽回一些损失,定期备份持久化数据是一个比较好的习惯。
-
不使用默认端口
Redis的默认端口是6379,不使用默认端口从一定程度上可降低被入侵者发现的可能性,因为入侵者通常本身也是一些攻击程序,对目标服务器进行端口扫描,例如MySQL的默认端口是3306、Memcache的默认端口11211、Jetty的默认端口8080等都会被设置成攻击目标,Redis作为一款较为致知名的NoSQL服务,6379必然也在端口的扫毛的列表中,虽然不设置默认端口还是有可能被攻击者入侵,但是能够在一定程度上降低被攻击的概率。
-
使用非root用户启动
root用户作为管理员,权限非常大。如果被入侵者获取root权限后,就可以在这台机器以及相关机器上“为所欲为”了。笔者建议在启动Redis服务的使用使用非root用户启动。事实上许多服务,例如Resin、Jetty、HBase、Hadoop都建议使用非root启动。