记一次学习过程(redis的编译安装,以及有关redis漏洞的学习,包括redis未授权写入ssh公钥、redis写入木马、redis主从复制漏洞linux版)同时记录几个威胁分析平台
Redis 编译安装:
# 下载 Redis 源码
wget http://download.redis.io/releases/redis-6.2.6.tar.gz
# 解压源码
tar xzf redis-6.2.6.tar.gz
# 进入 Redis 目录
cd redis-6.2.6
# 编译
make
# 安装
sudo make installRedis 未授权写入SSH Key漏洞学习:
漏洞原因:Redis在默认配置下,会绑定在0.0.0.0,从而允许非本地的用户访问。攻击者可以通过Redis的EVAL命令执行恶意Lua脚本,获取服务器的控制权。
修复建议:
- 禁用或更改默认的Redis端口(不要使用6379)。
- 配置Redis的访问控制,仅允许本地或信任的IP访问。
- 使用Redis密码认证,通过
requirepass指定密码。 - 使用
rename-command将CONFIG等危险命令重命名。 - 定期更新Redis到最新稳定版本来修复已知漏洞。
示例配置:
# 更改默认端口
port 6380
# 设置密码
requirepass yourpassword
# 重命名危险命令
rename-command CONFIG ""保存配置后,重启Redis服务使配置生效。
评论已关闭