- 论坛徽章:
- 4
|
1 此次容易遭受攻击的环境是用户自建的运行了Redis服务的Linux主机,您认为受到攻击的主要原因是什么?
最主要还是存在运维安全意识不够,对于安全来说其实应该是做到权限最小化,比如redis,最好使用非root的用户进行运行,
即使被拿到了权限也不会造成太严重的后果,公网连接没有必要的话不要开启,此外再配置上连接的密码,就可以做到相对的安全。
2 redis在特定的领域下,具有一定的不可代替性,但安全性上,Redis未授权访问问题是一直存在,您怎么看待?
是否进行授权访问,选择权作者都已经提供给了用户,在使用开源软件的时候一定要阅读官方提供的文档,做到尽可能的安全。
3 Redis作者放弃解决未授权访问导致的不安全性,您认为这样的做法是否正确?Redis作者这样做的原因是什么?
这种做法没有什么问题,很多情况redis只是用于内网使用的,如果加了密码验证也会增加配置的复杂度。
4 针对此事件的解决方案是什么?有什么直接有效的建议?
跟第一条一样:
1.用非root的用户进行运行,即使被拿到了权限也不会造成太严重的后果,
2.公网连接没有必要的话不要开启,或者使用防火墙只对必要的ip开启
3.配置上连接的密码 |
|