Redis安全加固策略:配置文件权限设置 & 配置本地日志存储目录 & 连接超时时间限制



1.1 配置文件权限设置

通过将Redis配置文件的权限设置为600,可以确保只有授权的用户可以查看和修改Redis的配置信息,从而提高系统的安全性。

未经授权的用户无法查看敏感信息,避免配置文件被恶意篡改。

检测方法:

1、执行一下命令查看redis配置文件权限

ls -l /usr/local/redis-7.0.9/redis.conf

Redis安全加固策略:配置文件权限设置 & 配置本地日志存储目录 & 连接超时时间限制-LMLPHP

判定依据: 配置文件权限设置为600则为合规,否则为不合规。

权限设置为600表示只有文件所有者(owner)有读写权限,其他用户没有任何权限。

具体权限解释如下:

这样设置可以确保只有Redis服务的运行用户(通常是redis用户)可以读取和修改Redis配置文件,而其他用户无法访问或修改该文件,从而提高了安全性。

加固参考配置操作:

1、执行以下命令设置redis配置文件权限

chmod 600 /usr/local/redis-7.0.9/redis.conf

ls -l /usr/local/redis-7.0.9/redis.conf

Redis安全加固策略:配置文件权限设置 & 配置本地日志存储目录 & 连接超时时间限制-LMLPHP

1.2 配置本地日志存储目录

Redis日志文件记录了Redis服务器的运行状态、错误信息、警告信息等。

配置Redis本地日志存储目录可以帮助管理员更好地管理和监控Redis服务器的运行情况,提高故障排查效率,保障Redis的稳定性和安全性。

检测方法:

连接当前运行的数据库执行一下命令查看logfile的配置:

[root@zyl-server ~]# redis-cli -h 127.0.0.1 -p 6379 -a Zyl##2024
Warning: Using a password with '-a' or '-u' option on the command line interface may not be safe.
127.0.0.1:6379> CONFIG GET logfile
1) "logfile"
2) "/var/log/redis/redis.log"
127.0.0.1:6379> 

Redis安全加固策略:配置文件权限设置 & 配置本地日志存储目录 & 连接超时时间限制-LMLPHP

判定依据: logfile值不为空则为合规,否则为不合规。

加固参考配置操作:

1、vi /usr/local/redis-7.0.9/redis.conf,修改redis配置文件,配置为以下参数:

Linux下,例如:

logfile "/var/log/redis/redis.log"

Windows下,例如:

logfile "D:/dev-tool/redis/redis-7.0.9/log"
2、重新启动Redis数据库。
systemctl restart redis

1.3 连接超时时间限制

在Redis中,客户端连接超时时间是通过timeout配置项来控制的。这个超时时间指的是客户端与Redis服务器之间的连接在空闲状态下多长时间后会被断开。

默认情况下,这个超时时间是0,表示不会主动断开连接

检测方法:

执行以下命令查看timeout是否配置:

【安装路径】/redis-cli -p 【数据库端口】-a 【认证密码】 -h 【数据库主机名称或IP】 

 CONFIG GET timeout

Redis安全加固策略:配置文件权限设置 & 配置本地日志存储目录 & 连接超时时间限制-LMLPHP

判定依据: timeout值设置小于等于300并大于0则为合规,否则为不合规。

加固参考配置操作:

1、vi /usr/local/redis-7.0.9/redis.conf,编辑redis配置文件修改timeout值为300

## 将timeout 0 ,修改为timeout 300

timeout 300

Redis安全加固策略:配置文件权限设置 & 配置本地日志存储目录 & 连接超时时间限制-LMLPHP

2、重新启动redis数据库服务。

systemctl restart redis

3、验证配置

CONFIG GET timeout

Redis安全加固策略:配置文件权限设置 & 配置本地日志存储目录 & 连接超时时间限制-LMLPHP

Redis安全加固策略:配置文件权限设置 & 配置本地日志存储目录 & 连接超时时间限制-LMLPHP


03-03 12:36