Redis 危险未经授权上传公钥（redis未授权上传公钥）

Redis 危险：未经授权上传公钥

成都创新互联公司成立于2013年，是专业互联网技术服务公司，拥有项目成都做网站、网站建设网站策划，项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命，1280元阳东做网站,已为上家服务,为阳东各地企业和个人服务,联系电话:18980820575

Redis 是一种基于键值对保存数据的内存数据库，常用于缓存服务器和数据处理等实时性要求较高的场景中。然而，近日业内安全研究人员发现了 Redis 存在一种危险行为，即未经授权上传公钥的现象。

在 Redis 中，用户可以通过配置文件中的 SSH-authorized-keys 选项添加公钥以实现远程登录操作。这一选项的存在可以方便管理员进行 Redis 的集群管理以及数据备份操作等。但是，如果该选项被滥用，攻击者就可以轻易地上传自己的公钥并远程控制 Redis 服务器。

具体来说，攻击者可以先通过漏洞或弱口令等手段获取 Redis 服务器的访问权限，然后通过该权限在 Redis 配置文件中添加自己的公钥。接着，攻击者就可以通过 ssh 协议登录 Redis 服务器，甚至可以通过该服务器进一步攻击其它内部系统。

为了避免 Redis 被滥用，开发者们需要注意以下几点：

1. 限制 Redis 访问权限，尽可能避免使用默认端口和弱密码等风险较高的设置。

2. 禁用 ssh-authorized-keys 选项，仅允许通过密码登录 Redis 服务器。

3. 定期检查 Redis 配置文件，查看是否存在误上传公钥的情况。

4. 加强 Redis 监控，及时发现任何异常行为。

5. 及时更新 Redis 版本，避免已知漏洞的攻击。

下面是一个简单的 Python 脚本，用于检查 Redis 配置文件中是否有 ssh-authorized-keys 规则：

import re
import os

ssh_auth_keys_pattern = re.compile("""^\s*ssh-authorized-keys\s+(.*)\s*$""")
redis_conf_path = "/etc/redis/redis.conf"
with open(redis_conf_path, "r") as fp:
    content = fp.read()
ssh_auth_keys_match = ssh_auth_keys_pattern.search(content)
if ssh_auth_keys_match:
    print("WARNING: Redis ssh-authorized-keys found in {0}".format(redis_conf_path))
    print(ssh_auth_keys_match.group(1))

如果运行上述脚本后输出了警告信息，说明存在 Redis 存在配置风险。此时，管理员需要立即修改 Redis 配置文件以确保 Redis 安全。

Redis 是一种强大的内存数据库，但在使用时需要注意安全性。管理员们需要及时更新 Redis 版本，限制 Redis 访问权限，加强 Redis 监控等措施，以确保 Redis 不被攻击者滥用。

成都服务器租用选创新互联，先试用再开通。
创新互联（www.cdcxhl.com）提供简单好用，价格厚道的香港/美国云服务器和独立服务器。物理服务器托管租用：四川成都、绵阳、重庆、贵阳机房服务器托管租用。

新闻标题：Redis 危险未经授权上传公钥（redis未授权上传公钥）
网站网址：http://www.mswzjz.com/qtweb/news20/204220.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联