【大话IT】RedisCrackIT入侵引发Linux 沦陷，你的服务器还安全吗？

GB_juno

部署时明显考虑是无密码登录，还放在公网，死挂了..
一般考虑加了密码之后开发会觉得折腾，也是为了不折腾，一般通过
1)跑在docker里面，你怎么搞都不会拿到主机的权限..当然这种也是不应该，有人访问也不好
2)iptables，只允许某些主机的端口连过来，这招可以把网络的扫描都挡住..基本可以满足需求.

chenyx

没用过redis，友情支持下活动。
看网友的讨论，将一个缓存的系统直接暴露在公网，这个不应该出现的问题竟然能出现，系统维护人员有不可推卸的责任。

craaazy123

这个漏洞，我有个大学同学碰到过，在朋友圈里大肆骂了番。他说他们的100多台服务器都受到了漏洞的影响。
我当时就问了他一句，你们数据库/缓存服务器都扔公网的吗？
然后就没然后了。。。

laputa73

redis本身是提供访问的密码授权机制的。文档描述也还算清晰。
所以我也觉得这不是功能问题。

当然，从安全角度，也可以做一些默认限制，
比如做成默认不设密码就不能访问
比如设置默认只绑定localhost

nfhflyrainbow

11月16日，国内安全研究团队启明星辰积极防御实验室成功捕获了国内首例利用Redis漏洞实现的DDOS僵尸网络控制样本。自Redis漏洞被公布以来，网络空间出现了大量利用该漏洞的攻击事件，但利用该漏洞快速部署僵尸程序，并通过僵尸网络实施高强度的分布式拒绝服务攻击还是首例。

虫虫猫

1 此次容易遭受攻击的环境是用户自建的运行了Redis服务的Linux主机，您认为受到攻击的主要原因是什么？
最主要还是存在运维安全意识不够，对于安全来说其实应该是做到权限最小化，比如redis，最好使用非root的用户进行运行，
即使被拿到了权限也不会造成太严重的后果，公网连接没有必要的话不要开启，此外再配置上连接的密码，就可以做到相对的安全。

2 redis在特定的领域下，具有一定的不可代替性，但安全性上，Redis未授权访问问题是一直存在，您怎么看待？
是否进行授权访问，选择权作者都已经提供给了用户，在使用开源软件的时候一定要阅读官方提供的文档，做到尽可能的安全。

3 Redis作者放弃解决未授权访问导致的不安全性，您认为这样的做法是否正确？Redis作者这样做的原因是什么？
这种做法没有什么问题，很多情况redis只是用于内网使用的，如果加了密码验证也会增加配置的复杂度。

4 针对此事件的解决方案是什么？有什么直接有效的建议？
跟第一条一样：
1.用非root的用户进行运行，即使被拿到了权限也不会造成太严重的后果，
2.公网连接没有必要的话不要开启,或者使用防火墙只对必要的ip开启
3.配置上连接的密码

solohac

1 此次容易遭受攻击的环境是用户自建的运行了Redis服务的Linux主机，您认为受到攻击的主要原因是什么？
        如果领导问，原因是员工安全意识不够，得多加强培训；
        如果运维同事问，原因是开发没交代好怎么部署；
        如果开发同事问，原因是运维没考虑到安全为题；
        如果朋友问，原因是说白了就是员工工作不上心呗。
        又不是新手怎么可能这点安全意识都没有，说白了就是工作不上心，一个应用部署上去不考虑是否安全？防火墙开没开？配置项里面有没有什么问题？
       
2 redis在特定的领域下，具有一定的不可代替性，但安全性上，Redis未授权访问问题是一直存在，您怎么看待？
        这不是redis的问题，搭建的时候别让对外访问不就行了。
       
3 Redis作者放弃解决未授权访问导致的不安全性，您认为这样的做法是否正确？Redis作者这样做的原因是什么？
        作者做法很正确。redis是用于存储的，选用他的原因就是为了提高效率，加入acl这种东西，效率又变低了吧？
        今天加个ACL，明天加个选举，后天加个XX。。最后效率都被这些东西吃掉了。
        专业的工作做专业的事，不做多余的事。

4 针对此事件的解决方案是什么？有什么直接有效的建议？
        方案很简单，能不对外开放的端口，一个都别多对外开放；对外开放的端口，都要相关开发、运维人员负责保证他的安全性。
        谁使用谁负责，落实责任，避免工作不上心，怎么方便怎么来的工作态度。

王江玉

给我发个徽章吧我还没有呢

action08

理论是一套，实际是一套，何必认真？？
用linux的人，技术应该不是很差的吧，怎么还犯这个错误？？

j_cle

好漂亮的勋章，楼主求勋章啊求勋章
1 此次容易遭受攻击的环境是用户自建的运行了Redis服务的Linux主机，您认为受到攻击的主要原因是什么？
首先是应用开发者安全意识相对弱，没有把权限分层管控细化放在心上，所有程序都以root运行；
其次就是对redis本身的安全配置工作做到位，只想使用其提供的功能，但未考虑配置上的一些细节问题；
再者就是此redis漏洞或者是缺陷对攻击者来说比较容易利用，像通过ssh的rsa这种方式，入侵者只需要简单的几个命令就能轻易获取用户系统的最高权限，也诱发了对redis这种缺陷的注意。
2 redis在特定的领域下，具有一定的不可代替性，但安全性上，Redis未授权访问问题是一直存在，您怎么看待？
这个跟开发的用途有关系，一个产品的开发跟特定应用条件有强关联，应用条件的变化很可能会暴露出产品的缺陷，这是无法避免的；但就redis来说，如果是仅仅放置于内网安全环境使用来说，风险会少很多，同样其他产品也是一样，定期开展对公司内部网络的及应用服务的安全测试，对企业的安全防御具有重大意义
3 Redis作者放弃解决未授权访问导致的不安全性，您认为这样的做法是否正确？Redis作者这样做的原因是什么？
Redis 安全模型的观念是: “请不要将Redis暴露在公开网络中, 因为让不受信任的客户接触到Redis是非常危险的”,Redis 作者之所以放弃解决未授权访问导致的不安全性是因为, 99.99%使用Redis的场景都是在沙盒化的环境中, 为了0.01%的可能性增加安全规则的同时也增加了复杂性, 虽然这个问题的并不是不能解决的, 但是这在他的设计哲学中仍是不划算的.
4 针对此事件的解决方案是什么？有什么直接有效的建议？
a，开启身份验证
b，禁用、重命名部分关键命令
c，想web服务一样更改默认6379端口，虽然意义不是很大，但是却一定程度上减小了被攻击概率
d，减小所对应的公网ip直接暴漏在公网中。