ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 数据库> 文章详细

Redis、Tomact安全漏洞处理

2022-01-06 11:02:03  阅读:268  来源: 互联网

标签:rename Tomcat Redis redis Tomact ssh 安全漏洞 authorized


最近在工作中遇到了一些Redis/Tomact安全漏洞问题,在此整理了一下:

一:Redis安全加固及安全漏洞处理

1.禁止一些高危命令(重启redis才能生效)
修改 redis.conf 文件,禁用远程修改 DB 文件地址

rename-command FLUSHALL ""
rename-command CONFIG ""
rename-command EVAL ""

或者通过修改redis.conf文件,改变这些高危命令的名称

rename-command FLUSHALL "name1"
rename-command CONFIG "name2"
rename-command EVAL "name3”
  1. 以低权限运行 Redis 服务(重启redis才能生效)
    为 Redis 服务创建单独的用户和家目录,并且配置禁止登陆
groupadd -r redis && useradd -r -g redis redis
  1. 为 Redis 添加密码验证(重启redis才能生效)
    修改 redis.conf 文件,添加
requirepass mypassword
  1. 禁止外网访问 Redis(重启redis才能生效)

修改 redis.conf 文件,添加或修改,使得 Redis 服务只在当前主机可用

bind 127.0.0.1

在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没有配置密码访问时都会报错

5.修改默认端口
修改配置文件redis.conf文件

Port 6379

默认端口是6379,可以改变成其他端口(不要冲突就好)
6. 保证 authorized_keys 文件的安全
为了保证安全,您应该阻止其他用户添加新的公钥。

将 authorized_keys 的权限设置为对拥有者只读,其他用户没有任何权限:

chmod 400 ~/.ssh/authorized_keys

为保证 authorized_keys 的权限不会被改掉,您还需要设置该文件的 immutable 位权限:

chattr +i ~/.ssh/authorized_keys

然而,用户还可以重命名 ~/.ssh,然后新建新的 ~/.ssh 目录和 authorized_keys 文件。要避免这种情况,需要设置 ~./ssh 的 immutable 权限:

chattr +i ~/.ssh
  1. 设置防火墙策略  
    如果正常业务中Redis服务需要被其他服务器来访问,可以设置iptables策略仅允许指定的IP来访问Redis服务。

二:Tomact安全漏洞处理

  1. CVE-2018-130 影响范围
    受影响的版本Apache Tomcat < 9.0.5Apache Tomcat < 8.5.28Apache Tomcat < 8.0.50Apache Tomcat < 7.0.85安全的版本
    Apache Tomcat 9.0.5

    Apache Tomcat 8.5.28

Apache Tomcat 8.0.50

Apache Tomcat 7.0.85

  2. CVE-2018-130 影响排查
    根据官方描述,此漏洞触发的前提有:

  3. 业务系统部署在低版本的Tomcat中。

  4. 业务系统通过注解的方式定义安全约束。

2、修改权限
  我们把tomcat-users.xml文件倒数第二行中的改为,去掉了admin后面的manager,即取消了管理员权限。然后重启tomcat(必须要重启,因为Tomcat重启时会加载配置文件,这样刚才的修改才会生效)。

 tomact安全漏洞一般可以进行升级版本来解决,有些版本已经修复了此类漏洞,具体可以进行查询漏洞版本然后去找寻匹配的tomact版本号。

标签:rename,Tomcat,Redis,redis,Tomact,ssh,安全漏洞,authorized
来源: https://blog.csdn.net/qq_34297387/article/details/122338559

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有