【大話IT】RedisCrackIT入侵引發(fā)Linux 淪陷，你的服務(wù)器還安全嗎？

GB_juno

部署時(shí)明顯考慮是無(wú)密碼登錄，還放在公網(wǎng)，死掛了..
一般考慮加了密碼之后開(kāi)發(fā)會(huì)覺(jué)得折騰，也是為了不折騰，一般通過(guò)
1)跑在docker里面，你怎么搞都不會(huì)拿到主機(jī)的權(quán)限..當(dāng)然這種也是不應(yīng)該，有人訪問(wèn)也不好
2)iptables，只允許某些主機(jī)的端口連過(guò)來(lái)，這招可以把網(wǎng)絡(luò)的掃描都擋住..基本可以滿足需求.

chenyx

沒(méi)用過(guò)redis，友情支持下活動(dòng)。
看網(wǎng)友的討論，將一個(gè)緩存的系統(tǒng)直接暴露在公網(wǎng)，這個(gè)不應(yīng)該出現(xiàn)的問(wèn)題竟然能出現(xiàn)，系統(tǒng)維護(hù)人員有不可推卸的責(zé)任。

craaazy123

這個(gè)漏洞，我有個(gè)大學(xué)同學(xué)碰到過(guò)，在朋友圈里大肆罵了番。他說(shuō)他們的100多臺(tái)服務(wù)器都受到了漏洞的影響。
我當(dāng)時(shí)就問(wèn)了他一句，你們數(shù)據(jù)庫(kù)/緩存服務(wù)器都扔公網(wǎng)的嗎？
然后就沒(méi)然后了。。。

laputa73

redis本身是提供訪問(wèn)的密碼授權(quán)機(jī)制的。文檔描述也還算清晰。
所以我也覺(jué)得這不是功能問(wèn)題。

當(dāng)然，從安全角度，也可以做一些默認(rèn)限制，
比如做成默認(rèn)不設(shè)密碼就不能訪問(wèn)
比如設(shè)置默認(rèn)只綁定localhost

nfhflyrainbow

11月16日，國(guó)內(nèi)安全研究團(tuán)隊(duì)啟明星辰積極防御實(shí)驗(yàn)室成功捕獲了國(guó)內(nèi)首例利用Redis漏洞實(shí)現(xiàn)的DDOS僵尸網(wǎng)絡(luò)控制樣本。自Redis漏洞被公布以來(lái)，網(wǎng)絡(luò)空間出現(xiàn)了大量利用該漏洞的攻擊事件，但利用該漏洞快速部署僵尸程序，并通過(guò)僵尸網(wǎng)絡(luò)實(shí)施高強(qiáng)度的分布式拒絕服務(wù)攻擊還是首例。

蟲(chóng)蟲(chóng)貓

1 此次容易遭受攻擊的環(huán)境是用戶自建的運(yùn)行了Redis服務(wù)的Linux主機(jī)，您認(rèn)為受到攻擊的主要原因是什么？
最主要還是存在運(yùn)維安全意識(shí)不夠，對(duì)于安全來(lái)說(shuō)其實(shí)應(yīng)該是做到權(quán)限最小化，比如redis，最好使用非root的用戶進(jìn)行運(yùn)行，
即使被拿到了權(quán)限也不會(huì)造成太嚴(yán)重的后果，公網(wǎng)連接沒(méi)有必要的話不要開(kāi)啟，此外再配置上連接的密碼，就可以做到相對(duì)的安全。

2 redis在特定的領(lǐng)域下，具有一定的不可代替性，但安全性上，Redis未授權(quán)訪問(wèn)問(wèn)題是一直存在，您怎么看待？
是否進(jìn)行授權(quán)訪問(wèn)，選擇權(quán)作者都已經(jīng)提供給了用戶，在使用開(kāi)源軟件的時(shí)候一定要閱讀官方提供的文檔，做到盡可能的安全。

3 Redis作者放棄解決未授權(quán)訪問(wèn)導(dǎo)致的不安全性，您認(rèn)為這樣的做法是否正確？Redis作者這樣做的原因是什么？
這種做法沒(méi)有什么問(wèn)題，很多情況redis只是用于內(nèi)網(wǎng)使用的，如果加了密碼驗(yàn)證也會(huì)增加配置的復(fù)雜度。

4 針對(duì)此事件的解決方案是什么？有什么直接有效的建議？
跟第一條一樣：
1.用非root的用戶進(jìn)行運(yùn)行，即使被拿到了權(quán)限也不會(huì)造成太嚴(yán)重的后果，
2.公網(wǎng)連接沒(méi)有必要的話不要開(kāi)啟,或者使用防火墻只對(duì)必要的ip開(kāi)啟
3.配置上連接的密碼

solohac

1 此次容易遭受攻擊的環(huán)境是用戶自建的運(yùn)行了Redis服務(wù)的Linux主機(jī)，您認(rèn)為受到攻擊的主要原因是什么？
        如果領(lǐng)導(dǎo)問(wèn)，原因是員工安全意識(shí)不夠，得多加強(qiáng)培訓(xùn)；
        如果運(yùn)維同事問(wèn)，原因是開(kāi)發(fā)沒(méi)交代好怎么部署；
        如果開(kāi)發(fā)同事問(wèn)，原因是運(yùn)維沒(méi)考慮到安全為題；
        如果朋友問(wèn)，原因是說(shuō)白了就是員工工作不上心唄。
        又不是新手怎么可能這點(diǎn)安全意識(shí)都沒(méi)有，說(shuō)白了就是工作不上心，一個(gè)應(yīng)用部署上去不考慮是否安全？防火墻開(kāi)沒(méi)開(kāi)？配置項(xiàng)里面有沒(méi)有什么問(wèn)題？
       
2 redis在特定的領(lǐng)域下，具有一定的不可代替性，但安全性上，Redis未授權(quán)訪問(wèn)問(wèn)題是一直存在，您怎么看待？
        這不是redis的問(wèn)題，搭建的時(shí)候別讓對(duì)外訪問(wèn)不就行了。
       
3 Redis作者放棄解決未授權(quán)訪問(wèn)導(dǎo)致的不安全性，您認(rèn)為這樣的做法是否正確？Redis作者這樣做的原因是什么？
        作者做法很正確。redis是用于存儲(chǔ)的，選用他的原因就是為了提高效率，加入acl這種東西，效率又變低了吧？
        今天加個(gè)ACL，明天加個(gè)選舉，后天加個(gè)XX。。最后效率都被這些東西吃掉了。
        專業(yè)的工作做專業(yè)的事，不做多余的事。

4 針對(duì)此事件的解決方案是什么？有什么直接有效的建議？
        方案很簡(jiǎn)單，能不對(duì)外開(kāi)放的端口，一個(gè)都別多對(duì)外開(kāi)放；對(duì)外開(kāi)放的端口，都要相關(guān)開(kāi)發(fā)、運(yùn)維人員負(fù)責(zé)保證他的安全性。
        誰(shuí)使用誰(shuí)負(fù)責(zé)，落實(shí)責(zé)任，避免工作不上心，怎么方便怎么來(lái)的工作態(tài)度。

王江玉

給我發(fā)個(gè)徽章吧我還沒(méi)有呢

action08

理論是一套，實(shí)際是一套，何必認(rèn)真？？
用linux的人，技術(shù)應(yīng)該不是很差的吧，怎么還犯這個(gè)錯(cuò)誤？？

j_cle

好漂亮的勛章，樓主求勛章啊求勛章
1 此次容易遭受攻擊的環(huán)境是用戶自建的運(yùn)行了Redis服務(wù)的Linux主機(jī)，您認(rèn)為受到攻擊的主要原因是什么？
首先是應(yīng)用開(kāi)發(fā)者安全意識(shí)相對(duì)弱，沒(méi)有把權(quán)限分層管控細(xì)化放在心上，所有程序都以root運(yùn)行；
其次就是對(duì)redis本身的安全配置工作做到位，只想使用其提供的功能，但未考慮配置上的一些細(xì)節(jié)問(wèn)題；
再者就是此redis漏洞或者是缺陷對(duì)攻擊者來(lái)說(shuō)比較容易利用，像通過(guò)ssh的rsa這種方式，入侵者只需要簡(jiǎn)單的幾個(gè)命令就能輕易獲取用戶系統(tǒng)的最高權(quán)限，也誘發(fā)了對(duì)redis這種缺陷的注意。
2 redis在特定的領(lǐng)域下，具有一定的不可代替性，但安全性上，Redis未授權(quán)訪問(wèn)問(wèn)題是一直存在，您怎么看待？
這個(gè)跟開(kāi)發(fā)的用途有關(guān)系，一個(gè)產(chǎn)品的開(kāi)發(fā)跟特定應(yīng)用條件有強(qiáng)關(guān)聯(lián)，應(yīng)用條件的變化很可能會(huì)暴露出產(chǎn)品的缺陷，這是無(wú)法避免的；但就redis來(lái)說(shuō)，如果是僅僅放置于內(nèi)網(wǎng)安全環(huán)境使用來(lái)說(shuō)，風(fēng)險(xiǎn)會(huì)少很多，同樣其他產(chǎn)品也是一樣，定期開(kāi)展對(duì)公司內(nèi)部網(wǎng)絡(luò)的及應(yīng)用服務(wù)的安全測(cè)試，對(duì)企業(yè)的安全防御具有重大意義
3 Redis作者放棄解決未授權(quán)訪問(wèn)導(dǎo)致的不安全性，您認(rèn)為這樣的做法是否正確？Redis作者這樣做的原因是什么？
Redis 安全模型的觀念是: “請(qǐng)不要將Redis暴露在公開(kāi)網(wǎng)絡(luò)中, 因?yàn)樽尣皇苄湃蔚目蛻艚佑|到Redis是非常危險(xiǎn)的”,Redis 作者之所以放棄解決未授權(quán)訪問(wèn)導(dǎo)致的不安全性是因?yàn)? 99.99%使用Redis的場(chǎng)景都是在沙盒化的環(huán)境中, 為了0.01%的可能性增加安全規(guī)則的同時(shí)也增加了復(fù)雜性, 雖然這個(gè)問(wèn)題的并不是不能解決的, 但是這在他的設(shè)計(jì)哲學(xué)中仍是不劃算的.
4 針對(duì)此事件的解決方案是什么？有什么直接有效的建議？
a，開(kāi)啟身份驗(yàn)證
b，禁用、重命名部分關(guān)鍵命令
c，想web服務(wù)一樣更改默認(rèn)6379端口，雖然意義不是很大，但是卻一定程度上減小了被攻擊概率
d，減小所對(duì)應(yīng)的公網(wǎng)ip直接暴漏在公網(wǎng)中。