摘要:阿里遠程服務(wù)器安全配置與使用前提在不安全的使用上是存在漏洞的,個人也是在這個上面吃了很大的虧��,真的這個問題也是弄了半天����,所以打算好好的記錄一下。
阿里遠程linux服務(wù)器 redis安全配置與使用
前提: redis在不安全的使用上是存在漏洞的�,個人也是在這個上面吃了很大的虧,真的這個問題也是弄了半天,所以打算好好的記錄一下�。
阿里遠程服務(wù)器的redis安裝
這里其實我就不過多的介紹了,網(wǎng)絡(luò)上有很多的安裝�����,大致都是一樣的��,總結(jié)下來總共就是幾步
去官網(wǎng)下載redis的安裝包
解壓
進入解壓目錄下 make����。編譯
進入src 目錄下 make install 安裝
接下來我們就可以啟動redis了,在src目錄下 啟動redis服務(wù)
./redis-server
啟動redis服務(wù)之后����,我們發(fā)現(xiàn)是前臺啟動的,修改起配置 讓其后臺啟動
進入redis的解壓目錄下 vi編輯器打開 redis.conf 文件
將daemonize的值改為yes
wq 保存
進入src 目錄 通過配置文件啟動
./redis-server ../redis.conf
Ok 到這為止就安裝好了���,我們可以通過命令查看redis的服務(wù)是否啟動
ps -ef | grep redis
總結(jié): 其實到目前為止,我們的redis就可以使用了�。但是問題往往開始出現(xiàn)了。
外部訪問redis失敗
其實整個問題的出現(xiàn)源起一個異常:
redis.clients.jedis.exceptions.JedisConnectionException: Could not get a resource from the pool
我也百度過會出現(xiàn)這個問題的原因:
連接池里面的線程不夠用了����,要對redis進行配置一下
外部根本就訪問不到redis
其實大多數(shù)情況下,我們的各種配置都是拷貝好的,稍微改改參數(shù)而已��,所以問題就出現(xiàn)在了外部無法訪問redis�����,對于這個東西我們可以使用工具測試
使用redis遠程連接客戶端(Redis Desktop Manager )連接一下看看是否能連接上
telnet 測試一下 (自行百度吧����,因為我也沒用過 我是直接用客戶端連接測試的)
當你測試后發(fā)現(xiàn),哎呀 確實連不上哈���,直接就去百度��,redis如何外部訪問�,百度會給你一堆結(jié)果�����,不過都是一樣的:
修改redis安裝目錄下的redis.conf文件��,把 # bind 127.0.0.1 這個前面的注視去掉��,并改為0.0.0.1
重啟redis服務(wù)器
好了 你再試試����。邪魅的?
這個時候你再去連接的時候你發(fā)現(xiàn)��,確實連接上了�,并且程序中使用的redis也沒問題了���。
到此為止 :我們可能以為萬事大吉了�����,可是沒多久你就會發(fā)現(xiàn)你錯了�,而我的錯誤也從此開始��。
redis 安全配置
redis 遇到的坑
上面的一系列操作都是我的真實操作����,當然中間其實有一些我操作上的失誤,一會下面我詳細說一下��。
redis的這個坑其實遇到的人還是蠻多的�,廢話少說,直接給大家上圖:
簡單列舉一下:
可疑文件路徑:root/.ssh/authorized_keys
漏洞進程路徑: /usr/local/cl_java/redis-4.0.2/src/redis-server
事件說明: 云盾檢測到服務(wù)器上Redis漏洞被黑客利用向磁盤上寫入了可疑文件��,可能導(dǎo)致黑客直接獲取ECS的Root權(quán)限���。請及時修復(fù)Redis配置漏洞�,并清理告警詳情中的可疑文件
解決方案:
https://help.aliyun.com/knowl...
https://help.aliyun.com/knowl...
http://www.setphp.com/981.html
這幾個解釋了為什么會出現(xiàn)這樣的問題���,以及該如何解決�。
其實這里的重點并不是如何結(jié)局��,而是我們?yōu)槭裁淳团龅搅藃edis的這個坑呢�?
為什么會進入redis 的坑?
其實這個是我們新手比較容易搞亂套的一些東西���,還有一些我們需要搞清楚的知識點
阿里云的外網(wǎng)與私網(wǎng) IP
外網(wǎng)IP:給外部人訪問�,也稱為公網(wǎng)����,對于外網(wǎng)的流量,阿里云是收費的�����。
內(nèi)網(wǎng)IP:就是局網(wǎng)IP��,如果你有幾臺以上的云主機�,可以局網(wǎng)傳輸數(shù)據(jù)�,局網(wǎng)傳輸數(shù)據(jù)不占用外部帶寬限制����,傳輸大文件速度會快很多很多。
準確說內(nèi)網(wǎng)IP地址的地址段是專門給私有網(wǎng)絡(luò)用的��,大多數(shù)用于內(nèi)部網(wǎng)絡(luò)的通信�����,或者外網(wǎng)IP缺少時�,替代外網(wǎng)IP進行網(wǎng)絡(luò)設(shè)備IP的分配。
外網(wǎng)IP其實就是合法的互聯(lián)網(wǎng)地址����,所有在互聯(lián)網(wǎng)中的網(wǎng)絡(luò)設(shè)備,服務(wù)器�����,計算機之間的通信都是通過外網(wǎng)IP進行通信的����。
另外對于局域網(wǎng)這個概念,其實不僅僅局限于內(nèi)網(wǎng)�����,比如同一個網(wǎng)段的公網(wǎng)IP的網(wǎng)絡(luò)也屬于局域網(wǎng)的范疇�����!
我的理解
我的理解其實就是很簡單
公網(wǎng)不安全
內(nèi)網(wǎng)外部不能訪問����,安全
哈哈 當然了我說的是否準確,希望有大佬們幫忙指導(dǎo)�����。
我所犯的錯誤
前提:我們接的別人的1期項目�����,拿到手之后修改放在自己的服務(wù)器上運行���。
很直接的直接把程序中的配置文件中訪問人家服務(wù)器的地址全部直接修改為我們服務(wù)器的地址(公網(wǎng))
運行出問題��。��。����。
找了半天,找到了問題����,公網(wǎng)訪問不通,直接百度��,把服務(wù)器的防火墻關(guān)了����,開放了端口,設(shè)置了redis的外部訪問���。����。
最后問題就出現(xiàn)了���。 服務(wù)器被攻擊了��。
避免redis再次出現(xiàn)問題 解決方案
這個時候其實我們應(yīng)該已經(jīng)意識到不要通過公網(wǎng)訪問的問題了
把redis 的配置文件 也就是redis.conf 中的bing 0.0.0.1 注釋掉�,禁止外部去訪問。
修改程序中的配置文件�,將redis訪問的地址改為內(nèi)網(wǎng)ip。
再次打包上傳�,這樣其實就沒有問題了,當然還有一些安全的解決方案�����,可以看一下上面給出的解決問題的連接�。
解決后續(xù)的配置問題
其實一開始我知道要這樣配置�����,但是如果把配置文件的請求地址都改為內(nèi)網(wǎng)ip 的話�,你的本地程序是起不來的,因為我們無法直接連接到內(nèi)網(wǎng)����。
那么如果想要本地測試,并且保證起安全性的話����,我們需要配置openvpn,參看配置文檔: https://help.aliyun.com/knowl...
ok����,到此為止我的問題解決了���。
后記
最后我想說幾點
千萬別拿配置本地服務(wù)器(自己的機器上)的操作操作云服務(wù)器
因為很多情況下,我們在設(shè)置本機的服務(wù)器的時候�,查詢百度的結(jié)果動不動就是開啟哪個端口,關(guān)閉防火墻����。如果是在云端的服務(wù)器的話,就很容易被這樣的挖礦程序攻擊���。
修改端口與防火墻的操作一定要慎重
目前我這個技術(shù)有限�,希望大佬們看到了多多指教���。
挖礦程序瓦的比特幣到底是啥:https://www.zhihu.com/questio...
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/24994.html
