V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
edis0n0
V2EX  ›  信息安全

redis 只监听 127.0.0.1 应该就没必要设置密码了吧

  •  
  •   edis0n0 · 2023-03-08 13:20:31 +08:00 · 5458 次点击
    这是一个创建于 625 天前的主题,其中的信息可能已经有所发展或是发生改变。
    37 条回复    2023-03-09 20:14:25 +08:00
    rekulas
        1
    rekulas  
       2023-03-08 13:23:48 +08:00
    如果机器只有自己在用一般不需要
    julyclyde
        2
    julyclyde  
       2023-03-08 15:23:43 +08:00
    这么干的人估计不少,但应该都不敢提出这种建议
    huluhulu
        3
    huluhulu  
       2023-03-08 15:29:02 +08:00   ❤️ 5
    这样的话,无疑把 redis 的安全交给了系统中的其他最短的那个短板。只要那个短板被攻破了,redis 就被攻破了。
    xiaocaiji111
        4
    xiaocaiji111  
       2023-03-08 15:42:35 +08:00
    没有公网 ip 可以这么搞
    ciki
        5
    ciki  
       2023-03-08 15:43:19 +08:00
    不开放到公网就没事
    ijrou
        6
    ijrou  
       2023-03-08 15:44:52 +08:00 via Android
    难道你还想将它设置监听为 0.0.0.0 ?
    zjj19950716
        7
    zjj19950716  
       2023-03-08 16:02:47 +08:00
    直接连 socket 性能还高
    dobelee
        8
    dobelee  
       2023-03-08 16:07:18 +08:00
    能保证内网安全就无需鉴权,毕竟你的服务配置也有明文密码。
    gant
        9
    gant  
       2023-03-08 16:35:11 +08:00
    确实,我就本机没设置密码,但我不敢建议别人不用密码
    Nicklove
        10
    Nicklove  
       2023-03-08 16:39:23 +08:00
    只监听 127.0.0.1 代表只有本机能够访问。但是希望实际的操作也是如此。比如说去年 docker 曾出现一个安全隐患 https://blog.csdn.net/alex_yangchuansheng/article/details/125465862https://news.ycombinator.com/item?id=31839936
    ETiV
        11
    ETiV  
       2023-03-08 16:43:05 +08:00 via iPhone
    直接访问 local 的端口是一点权限验证都没有的,你本机的任意用户都能访问,所以把 dockerd 监听在 TCP 上是极度不推荐的
    可以考虑监听到 sock 路径上,可以配置一下 user group 什么的
    dolorain
        12
    dolorain  
       2023-03-08 16:45:40 +08:00
    没什么好怕的,老子就这样。
    i979491586
        13
    i979491586  
       2023-03-08 16:48:34 +08:00
    看了楼上的回答,希望你们都不要进国家新成立的数据安全局,害怕
    wunonglin
        14
    wunonglin  
       2023-03-08 16:54:07 +08:00
    我不会建议你这样做。但是我是这样做的
    LWFF
        15
    LWFF  
       2023-03-08 16:55:16 +08:00
    楼上怕什么,我们的数据早就已经被泄露无数遍了
    exiaoxing
        16
    exiaoxing  
       2023-03-08 17:04:49 +08:00
    出现 ssrf 的话风险挺大的
    JKeita
        17
    JKeita  
       2023-03-08 17:19:25 +08:00
    设置个密码也没多大的事吧,万一真出问题谁担责呢。
    Les1ie
        18
    Les1ie  
       2023-03-08 18:20:46 +08:00   ❤️ 2
    即使只监听 127.0.0.1, 我仍然建议给 redis 设置强密码。
    如果机器上面有其他服务存在漏洞,比如网站有 ssrf 漏洞,那么攻击者可能通过 ssrf 攻击 redis ,进而获取系统权限。
    网上有很多关于这个攻击路径的分析,比如 https://www.freebuf.com/articles/web/263556.html
    ghostheaven
        19
    ghostheaven  
       2023-03-08 19:16:30 +08:00
    这得本机的所有进程都是安全的才行
    zhoudaiyu
        20
    zhoudaiyu  
       2023-03-08 19:22:45 +08:00
    用 unix domain socket 更好一些吧
    tairan2006
        21
    tairan2006  
       2023-03-08 20:11:16 +08:00
    你指的自己机器还是服务器?服务器的话建议别监听 127.0.0.1 ,后面别的服务要共享还要重启…自己电脑随意
    kenvix
        22
    kenvix  
       2023-03-08 20:18:55 +08:00
    你最好确认其他系统没有什么漏洞先。。。
    kdwnil
        23
    kdwnil  
       2023-03-08 20:34:04 +08:00 via Android
    可能很多人都这么做,但大伙都不敢这样建议。。。
    AS4694lAS4808
        24
    AS4694lAS4808  
       2023-03-08 20:52:02 +08:00 via Android
    告诉我公网 IP[狗头]
    yazinnnn
        25
    yazinnnn  
       2023-03-08 21:14:54 +08:00 via Android
    那如果换成监听 domain socket 会安全些吗
    leaflxh
        26
    leaflxh  
       2023-03-08 21:22:20 +08:00
    单独一台机器上部署并定期更换强密码,然后被系统漏洞攻下来(
    Ericcccccccc
        27
    Ericcccccccc  
       2023-03-08 21:52:52 +08:00
    @i979491586 可以搜 10 亿公安数据泄露. 负责这些东西的人, 大概率和数据安全局是一批人.
    MossFox
        28
    MossFox  
       2023-03-08 22:42:30 +08:00
    类似于 nps ( https://github.com/ehang-io/nps ) 的程序如果被恶意利用,是可以远程以本地网络身份去进行未授权访问的。
    ……不过我没什么具体经验,就稍微提一下。
    Kumo31
        29
    Kumo31  
       2023-03-08 23:17:14 +08:00
    不建议无条件信任内网或本地的访问,之前遇到过的例子是,很多在线简历网站都是基于 HTML 排版的,在下载 PDF 时会在服务器中开一个无头浏览器进行渲染,大部分都可以直接往简历里丢个 <iframe> ,等它渲染时就能以服务器身份访问,得到一些内网信息了,批量扫了一堆这种 SSRF 漏洞
    dcsuibian
        30
    dcsuibian  
       2023-03-08 23:21:42 +08:00
    设个密码那么费劲儿么
    我自己开发机也不设密码,但生产环境的话,肯定会弄啊
    dnsaq
        31
    dnsaq  
       2023-03-09 07:32:05 +08:00 via iPhone
    有个东西叫安全基线,设不设置都一样用。但这些看起来多余的操作实际抬高了安全基线,肯定是有好处的。某些 0day 利用骚姿势可比你想象的还要多,别高估了自己的智商。
    dnsaq
        32
    dnsaq  
       2023-03-09 07:33:45 +08:00 via iPhone
    一句话 对安全保持敬畏 ,能做的就不要嫌麻烦。
    onice
        33
    onice  
       2023-03-09 09:13:18 +08:00
    redis 只监听 127.0.0.1 ,,如果没密码,如果攻击者通过 web 层拿到 webshell ,,就可以通过本地直连 redis 重写 ssh 密钥控制服务器。
    nothingistrue
        34
    nothingistrue  
       2023-03-09 09:36:40 +08:00
    个人开发环境,你随便搞。但生产环境上,redis 一般都不在本机,而监听范围只能在 127.0.0.1 和 0.0.0.0 之间二选一。
    junmoxiao
        35
    junmoxiao  
       2023-03-09 10:01:35 +08:00
    如果 redis 是高权限,可以用来提权
    busier
        36
    busier  
       2023-03-09 16:49:04 +08:00
    只是不能网络直连而已!中木马或得到 Shell 一样可以连进来!自己拿捏!
    kanepan19
        37
    kanepan19  
       2023-03-09 20:14:25 +08:00
    零信任 谢谢
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1239 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 17:59 · PVG 01:59 · LAX 09:59 · JFK 12:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.