背景

在眾多開源快取技術中，Redis無疑是目前功能最為強大，應用最多的快取技術之一，參考2018年國外資料庫技術權威網站DB-Engines關於key-value資料庫流行度排名，Redis暫列第一位，但是原生Redis版本在安全方面非常薄弱，很多地方不滿足安全要求，如果暴露在公網上，極易受到惡意攻擊，導致資料洩露和丟失。

本文主要是在原生開源軟體Redis3.0基礎上，系統的在安全特性方面進行的增強,很多增強點涉及了開原始碼的修改，後續章節闡述的Redis快取資料庫的安全規範, 理論上適用於所有應用Redis的產品。

本系列共連載三篇，分九個章節，本文從敏感資料與加密保護，口令安全，日誌審計三個章節闡述了

敏感資料與加密保護

1.密碼儲存(重要)

安全問題：原生Redis服務端密碼requirepass和masterauth是明文儲存到redis.conf。

解決方案: 服務端密碼採用PBKDF2加密後儲存到redis.conf。

考慮到效能問題，每次認證都用PBKDF2會比較耗時,經過評審，採用在首次認證成功後，記憶體採用SHA256快取，後續的請求優先使用SHA256校驗。

2.支援祕鑰替換(重要)

安全問題：涉及加解密的祕鑰不能寫死到程式碼中。

解決方案: 祕鑰支援定期替換。

➤redis服務端redis-server:

配置檔案增加配置項：cipher-dir

配置為redis_shared.key和root.key所在的資料夾的全路徑，例如：cipher-dir /opt/redis/etc/cipher

➤redis客戶端：redis-cli

新增引數-cipherdir，指向redis_shared.key和root.key所在的資料夾的全路徑

例如：redis-cli -h 127.0.0.1 -cipherdir /opt/redis/etc/cipher -a [email protected]@Changeme_123 -p 32091

➤redis客戶端SDK：jedis*.jar

同一個程序內,Jedis介面為string, [email protected]

3.密碼傳輸(重要)

安全問題：原生Redis通過config get命令可能獲取到服務端敏感資訊。

解決方案：禁止將口令等敏感資訊傳送到客戶端，因此需要禁掉config get requirepas/masterauth/requireuserpass等功能。

4.密碼修改(重要)

安全問題：修改密碼明文傳輸:config set masterauth pwd

解決方案：Redis記憶體儲存明文密碼問題: masterauth 使用AES128加密，密碼採用AES128儲存

口令安全

1.產品預設啟用資料庫口令複雜度檢查功能

安全問題：Redis修改密碼沒有複雜度檢查。

解決方案：提供單獨的Redis修改工具來修改密碼，特別注意以下幾點：

1．進行口令複雜度檢查。

2．在輸入錯誤的使用者名稱或密碼時，不能出現類似於“密碼錯誤”、“使用者名稱不存在”之類的過於明確的原因提示資訊，以防止攻擊者用於猜解系統使用者名稱/口令。

3．修改密碼要校驗老密碼。

4．修改資料庫密碼不能和使用者名稱一樣。

5．互動式密碼修改時要隱藏密碼。

6．在文件中建議通過互動式修改密碼。

2.防暴力破解,配置賬戶登入失敗嘗試次數

安全問題：Redis原生版本存在暴力破解情況。

解決方案：最大失敗次數：maxauthfailtimes（單位 次，有效範圍(0,10萬]，預設值1萬）

說明：該配置項只支援在啟動時redis.conf配置，不支援動態修改,遮蔽掉對應config set。

不支援設定為0：表示不鎖定任何IP。

3.配置賬戶鎖定後自動解鎖時間

鑑權失敗鎖定時間：authfaillocktime（單位分鐘，有效範圍[0~999]，預設值10）

設定為0時，表示永久鎖定。

說明: 該配置項只支援在啟動時redis.conf配置，不支援動態修改,遮蔽掉對應config set。

4.檢視鎖定IP

問題：IP鎖定後需要檢視被鎖定IP。

解決方案：

只有管理員可以檢視已經鎖定的IP列表，分隔符為英文冒號（:） 示例1：config get lockedips 返回：10.67.147.111;10.67.147.112; 示例2：config get lockedips 返回：10.67.147.111; 說明：不支援config set lockedips，如果強制執行，返回錯誤：ERR Unsupported CONFIG parameter: lockedips

5.手工鎖定IP的解除

只有管理員可以執行命令解鎖鎖定的IP，只支援解鎖單個IP或者解鎖全部IP 解決方案：

示例1，解鎖單個IP：config set unlockips 10.67.147.111 示例2，解鎖所有IP：config set unlockips “all” 說明：不支援config get unlockips，如果強制執行，返回空，redis-cli提示：(empty list or set) 如果引數中的IP沒有出現過異常，會返回解鎖失敗，例如： (error) ERR Invalid argument '10.67.147.111' for CONFIG SET 'unlockips'

執行手動解鎖，記錄trace，例如： 例如：26 Dec 03:15:19.958 * 10.67.147.113 unlocked by 10.67.147.111:59417日誌審計

6.安全審計

1.Redis自身支援日誌記錄到系統日誌，如/var/log/localmessage。但需要通過在redis.conf進行如下配置：

syslog-enabled yes

syslog-ident redis

syslog-facility local0

2.客戶端登入，記錄客戶端IP，賬號等資訊。

3.相關維護操作必須有詳細的日誌記錄。

示例: 29118:S 26 Nov 11:19:29.100 * The readdbuser logged in successfully;10.145.93.119:52817；

7.操作日誌轉儲

安全問題：官方版本Redis日誌不會轉儲，長時間執行可能會把磁碟佔滿。

解決方案：單獨執行tracemonitor程序(python版),定期管理Redis日誌檔案大小，主要是日誌壓縮和定期刪除，避免佔用過多磁碟。

說明：目前平臺預設60秒檢測一次，日誌達到20M壓縮，日誌個數最大50個。