笙亿网络策划

Redis 未授权访问漏洞如何修复配置 requirepass?

约 8 分钟读完 31 阅
文章导读
修复 Redis 未授权访问漏洞配置 requirepass 的核心步骤是编辑 redis.conf 配置文件。首先找到 requirepass 参数,去掉前面的注释符号,并设置一个高强度的密码,建议包含大小写字母、数字及特殊字符。保存配置后必须重启 Redis 服务使设置生效。此外,还应配合绑定本地 IP 地址(bind 127.0.0.1)及设置防火墙规则,限制外部网络直接访问 Redis 端
📋 目录
  1. Redis 未授权访问漏洞【修复指南】
  2. 修复 Redis 未授权漏洞的有效方法
  3. redis 未授权访问漏洞利用
  4. Redis 未授权访问漏洞
  5. windows 下的 redis 未授权访问修复方法
  6. FAQ
A A

修复 Redis 未授权访问漏洞配置 requirepass 的核心步骤是编辑 redis.conf 配置文件。首先找到 requirepass 参数,去掉前面的注释符号,并设置一个高强度的密码,建议包含大小写字母、数字及特殊字符。保存配置后必须重启 Redis 服务使设置生效。此外,还应配合绑定本地 IP 地址(bind 127.0.0.1)及设置防火墙规则,限制外部网络直接访问 Redis 端口,从而有效防止未授权访问和数据泄露风险。

Redis 未授权访问漏洞【修复指南】

Redis 未授权访问漏洞 风险描述 Redis 服务器在没有进行适当的身份验证和访问控制的情况下,攻击者可读取 Redis 中存储的所有数据,包括敏感信息,或者配合其他漏洞造成代码执行,控制服务器。漏洞详情:https://avd.aliyun.com/detail/AVD-02021-0344 修复建议 1、设置访问密码。在 redis.conf 配置文件中,去掉 requirepass 参数前的注释,并设置复杂密码,如同时包含大小写字母、数字和特殊字符的长密码组合。保存后重启 Redis 服务。2、限制外部访问 (可选)。限定监听 IP。在 redis.conf 配置文件中,将 bind 参数配置为本地地址 (127.0.0.1) 或特定可信 IP。设置白名单分组和 ECS 安全组,详见。若您在修复过程中遇到任何困难或有其他相关疑问,可前往安全管控,点击“需要安全帮助”,联系技术工程师获取支持。(撰于 2026 年 1 月 22 日)

修复 Redis 未授权漏洞的有效方法

1. 更改 Redis 默认配置 Redis 默认配置中包含了一些安全风险,因此将默认配置更改为更安全的配置是一种简单有效的方法。如果您使用的是 Redis 4.0 或更高版本,可通过以下方式更改 Redis 默认配置:(1) 在 Redis 配置文件中取消掉 bind 配置的注释,将其值修改为 127.0.0.1,表示只允许本地访问。bind 127.0.0.1 (2) 使用 requirepass 指令创建一个密码作为访问 Redis 数据库的凭证。将密码修改为强密码,建议使用至少八位字符,包括数字、大写字母、小写字母和特殊字符。requirepass yourpassword (3) 通过设置 protected-mode yes 指令来限制只有本地 IP 才能访问 Redis。protected-mode yes 使用上述配置可以避免 Redis 被外界访问,从而大大降低未授权漏洞利用的风险。2. 使用认证工具 如果您的 Redis 版本较旧,且无法更改默认配置,可以使用认证工具来加强访问控制。(消息于 2025 年 6 月 14 日发布)

redis 未授权访问漏洞利用

修改配置文件 Redis 的配置文件默认在/etc/redis.conf,找到如下行:#requirepass foobared 去掉前面的注释,并修改为所需要的密码:requirepass myPassword(其中 myPassword 就是要设置的密码) 重启 Redis 如果 Redis 已经配置为 service 服务,可以通过以下方式重启:service redis restart 如果 Redis 没有配置为 service 服务,可以通过以下方式重启:/usr/local/bin/redis-cli shutdown /usr/local/bin/redis-server /etc/redis.conf 登录验证 设置 Redis 认证密码后,客户端登录时需要使用-a 参数输入认证密码,不添加该参数虽然也可以登录成功,但是没有任何操作权限。如下:$ ./redis-cli -h 127.0.0.1 -p 6379 127.0.0.1:6379> keys * (error) NOAUTH Authentication required. 使用密码认证登录,并验证操作权限:$ ./redis-cli -h 127.0.0.1 -p 6379 -a myPassword 127.0.0.1:6379> config get requirepass 1) "requirepass" 2) "myPassword" 看到类似上面的输出,说明 Reids 密码认证配置成功。0x02 漏洞描述 漏洞描述:Redis 因配置不当可以未授权访问,被攻击者恶意利用。攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行 flushall 来清空所有数据。攻击者可通过 EVAL 执行 lua 代码,或通过数据备份功能往磁盘写入后门文件。(该信息的时间戳是 2017 年 11 月 12 日)

Redis 未授权访问漏洞

Redis 未授权访问漏洞 简介:一、漏洞描述和危害 Redis 因配置不当可以未授权访问,被攻击者恶意利用。攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行 flushall 来清空所有数据。攻击者可通过 EVAL 执行 lua 代码,或通过数据备份功能往磁盘写入后门文件,如果 Redis 以 root 身份运行,黑客可以给 root 账户写入 SSH 公钥文件,直接通过 SSH 登录受害服务器。一、漏洞描述和危害 Redis 因配置不当可以未授权访问,被攻击者恶意利用。攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行 flushall 来清空所有数据。攻击者可通过 EVAL 执行 lua 代码,或通过数据备份功能往磁盘写入后门文件,如果 Redis 以 root 身份运行,黑客可以给 root 账户写入 SSH 公钥文件,直接通过 SSH 登录受害服务器。二、已确认被成功利用的软件及系统 对公网开放,且未启用认证的 redis 服务器。三、建议修复方案 1、指定 redis 服务使用的网卡 (需要重启 redis 才能生效) 在 redis.conf 文件中找到"# bind 127.0.0.1" ,把前面的#号去掉,然后保存。注:修改后只有本机才能访问 Redis。2、设置访问密码 (需要重启 redis 才能生效) 在 redis.conf 中找到"requirepass"字段,在后面填上你需要的密码,Redis 客户端也需要使用此密码来访问 Redis 服务。3、修改 Redis 服务运行账号 请以较低权限账号运行 Redis 服务,且禁用该账号的登录权限。可以限制攻击者往磁盘写入文件,但是 Redis 数据还是能被黑客访问到,或者被黑客恶意删除。(资料日期为 2015 年 12 月 16 日)

Redis 未授权访问漏洞如何修复配置 requirepass?

windows 下的 redis 未授权访问修复方法

windows 下的 redis 未授权访问修复方法 在 windows 服务中查看 redis 服务的启动参数,先停止此服务 修改 redis.windows.conf 这个文件 1. 为 Redis 添加密码验证 (重启 redis 才能生效) 添加或修改以下行 requirepass mypassword 其中 yourpassword 是你设置的强密码。2. 禁止外网访问 Redis(重启 redis 才能生效) 修改 redis.conf 文件,添加或修改,使得 Redis 服务只在当前主机可用 bind 127.0.0.1 3. 修改默认端口 Port 6379 默认端口是 6379,可以改变成其他端口 (不要冲突就好) 4、使用防火墙:配置 Windows 防火墙或其他网络安全工具,限制对 Redis 端口 (默认为 6379) 的访问,只允许可信来源访问。(搜索结果收录于 2024 年 1 月 30 日)

FAQ

问:配置 requirepass 后是否需要重启 Redis 服务?

答:是的,修改 redis.conf 配置文件后,需要重启 Redis 服务才能使密码验证设置生效。

Redis 未授权访问漏洞如何修复配置 requirepass?

问:什么样的密码被认为是强密码?

答:建议密码至少八位字符,同时包含大小写字母、数字和特殊字符的长密码组合,以增加破解难度。

问:除了设置密码,还有哪些修复建议?

答:还可以限定监听 IP 为本地地址 (127.0.0.1),设置白名单分组和 ECS 安全组,以及修改 Redis 服务运行账号为较低权限账号。