如何在Ubuntu 18.04上安装和保护Redis

Redis是一款内存键值存储,以其灵活性,性能和广泛的语言支持而闻名。本教程演示了如何在Ubuntu 18.04服务器上安装和配置Redis。

本教程的以前版本由Justin Ellingwood编写

介绍

Redis是一款内存键值存储,以其灵活性,性能和广泛的语言支持而闻名。 本教程演示如何在Ubuntu 18.04服务器上安装,配置和保护Redis。

先决条件

要完成本指南,您需要访问Ubuntu 18.04服务器,该服务器具有sudo权限的非root用户和配​​置的基本防火墙。 您可以按照我们的初始服务器安装指南进行设置

准备好开始时,请以sudo用户身份登录到Ubuntu 18.04服务器,然后继续操作。

第1步 - 安装和配置Redis

为了获得最新版本的Redis,我们将使用apt从官方Ubuntu存储库安装它。

通过输入以下apt更新您的本地apt包缓存并安装Redis:

sudo apt update
sudo apt install redis-server

这将下载并安装Redis及其依赖项。 在此之后,在Redis配置文件中进行了一项重要的配置更改,该配置文件在安装过程中会自动生成。

用你喜欢的文本编辑器打开这个文件:

sudo nano /etc/redis/redis.conf

在文件中,找到supervised指令。 该指令允许您声明一个init系统来管理Redis作为服务,从而为您提供对其操作的更多控制。 supervised指令默认设置为no 由于您正在运行使用systemd init系统的Ubuntu,请将其更改为systemd

/etc/redis/redis.conf
. . .

# If you run Redis from upstart or systemd, Redis can interact with your
# supervision tree. Options:
#   supervised no      - no supervision interaction
#   supervised upstart - signal upstart by putting Redis into SIGSTOP mode
#   supervised systemd - signal systemd by writing READY=1 to $NOTIFY_SOCKET
#   supervised auto    - detect upstart or systemd method based on
#                        UPSTART_JOB or NOTIFY_SOCKET environment variables
# Note: these supervision methods only signal "process is ready."
#       They do not enable continuous liveness pings back to your supervisor.
supervised systemd

. . .

这是您在此时需要对Redis配置文件进行的唯一更改,因此在完成后保存并关闭它。 然后,重新加载Redis服务文件以反映您对配置文件所做的更改:

sudo systemctl reload redis.service

有了这个,你已经安装和配置了Redis并且它正在你的机器上运行。 不过,在开始使用之前,首先要检查Redis是否正常运行。

第2步 - 测试Redis

与任何新安装的软件一样,在对其配置进行任何进一步更改之前,确保Redis按预期运行是一个好主意。 我们将通过一些方法来检查Redis在此步骤中是否正常工作。

首先检查Redis服务是否正在运行:

sudo systemctl status redis

如果它没有任何错误地运行,这个命令将产生类似于以下的输出:

● redis-server.service - Advanced key-value store
   Loaded: loaded (/lib/systemd/system/redis-server.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2018-06-27 18:48:52 UTC; 12s ago
     Docs: http://redis.io/documentation,
           man:redis-server(1)
  Process: 2421 ExecStop=/bin/kill -s TERM $MAINPID (code=exited, status=0/SUCCESS)
  Process: 2424 ExecStart=/usr/bin/redis-server /etc/redis/redis.conf (code=exited, status=0/SUCCESS)
 Main PID: 2445 (redis-server)
    Tasks: 4 (limit: 4704)
   CGroup: /system.slice/redis-server.service
           └─2445 /usr/bin/redis-server 127.0.0.1:6379
. . .

在这里,您可以看到Redis正在运行并已启用,这意味着它在每次启动服务器时都会启动。

注意:此设置适用于Redis的许多常见使用情况。 但是,如果您希望每次启动服务器时都手动启动Redis,则可以使用以下命令对其进行配置:

sudo systemctl disable redis

要测试Redis是否正常运行,请使用命令行客户端连接到服务器:

redis-cli

在随后的提示中,使用ping命令测试连接:

ping
PONG

此输出确认服务器连接仍处于活动状态。 接下来,检查您是否能够通过运行设置密钥:

set test "It's working!"
OK

键入以下内容以检索值:

get test

假设一切正常,您将能够检索您存储的值:

"It's working!"

确认您可以获取该值后,退出Redis提示符以返回到shell:

exit

作为最终测试,我们将检查Redis是否能够在数据停止或重新启动后保留数据。 为此,请首先重新启动Redis实例:

sudo systemctl restart redis

然后再次连接命令行客户端并确认您的测试值仍然可用:

redis-cli
get test

您的密钥的价值仍应可访问:

"It's working!"

完成后再退出到外壳中:

exit

有了这个,您的Redis安装完全可以运行并且可以随时使用。 然而,它的一些默认配置设置是不安全的,并为恶意攻击者提供了攻击和访问服务器及其数据的机会。 本教程中的其余步骤包括Redis官方网站规定的用于减轻这些漏洞的方法。 虽然这些步骤是可选的,但如果您选择不遵循这些步骤,Redis仍然可以运行,但强烈建议您完成这些步骤以加强系统的安全性。

第3步 - 绑定到本地主机

默认情况下,Redis只能从本地主机访问。 但是,如果您按照与此不同的教程安装并配置了Redis,则可能已更新配置文件以允许从任何地方进行连接。 这不像绑定到localhost那样安全。

要更正此问题,请打开Redis配置文件进行编辑:

sudo nano /etc/redis/redis.conf

找到这一行并确保它没有注释(删除#如果存在):

/etc/redis/redis.conf
bind 127.0.0.1 ::1

完成后保存并关闭文件(按CTRL + XY ,然后按ENTER )。

然后,重新启动服务以确保systemd读取您的更改:

sudo systemctl restart redis

要检查此更改是否已生效,请运行以下netstat命令:

sudo netstat -lnp | grep redis
tcp        0      0 127.0.0.1:6379          0.0.0.0:*               LISTEN      14222/redis-server  
tcp6       0      0 ::1:6379                :::*                    LISTEN      14222/redis-server  

此输出显示redis-server程序绑定到localhost127.0.0.1 ),反映您刚才对配置文件所做的更改。 如果您在该列中看到另一个IP地址(例如, 0.0.0.0 ),则应该仔细检查是否取消注释了正确的行并重新启动Redis服务。

既然您的Redis安装只能在本地主机上进行监听,那么对于恶意角色来说,请求或访问您的服务器将更加困难。 但是,Redis目前并未设置为要求用户在对其配置或其所拥有的数据进行更改之前进行身份验证。 为了弥补这一点,Redis允许您在通过Redis客户端( redis-cli )进行更改之前要求用户使用密码进行身份验证。

第4步 - 配置Redis密码

配置Redis密码将启用其两个内置安全功能之一 - auth命令,该命令需要客户端进行身份验证才能访问数据库。 密码直接在Redis的配置文件/etc/redis/redis.conf配置,因此请使用您的首选编辑器再次打开该文件:

sudo nano /etc/redis/redis.conf

滚动到SECURITY部分并查找注释如下的指令:

/etc/redis/redis.conf
# requirepass foobared

通过删除#取消注释,并将其更改为安全密码。

注意:redis.conf文件中的requirepass指令redis.conf ,有一条注释警告:

# Warning: since Redis is pretty fast an outside user can try up to
# 150k passwords per second against a good box. This means that you should
# use a very strong password otherwise it will be very easy to break.
#

因此,指定一个非常强大和非常长的值作为密码很重要。 您可以使用openssl命令生成一个随机的密码,而不是自己openssl密码,如下例所示。 通过将第一个命令的输出传送给第二个openssl命令,如下所示,它将删除由第一个命令产生的任何换行符:

openssl rand 60 | openssl base64 -A

你的输出应该如下所示:

RBOJ9cCNoGCKhlEBwQLHri1g+atWgn4Xn4HwNUbtzoVxAYxkiYBi7aufl4MILv1nxBqR4L6NNzI0X6cE

在复制并粘贴该命令的输出作为requirepass的新值requirepass ,它应为:

requirepass RBOJ9cCNoGCKhlEBwQLHri1g+atWgn4Xn4HwNUbtzoVxAYxkiYBi7aufl4MILv1nxBqR4L6NNzI0X6cE

设置密码后,保存并关闭文件,然后重新启动Redis:

sudo systemctl restart redis.service

要测试密码是否有效,请访问Redis命令行:

redis-cli

以下显示了用于测试Redis密码是否工作的一系列命令。 第一个命令尝试在认证之前将密钥设置为值:

set key1 10

这不起作用,因为你没有进行身份验证,所以Redis返回一个错误:

(error) NOAUTH Authentication required.

下一个命令使用Redis配置文件中指定的密码进行身份验证:

auth your_redis_password

Redis承认:

OK

之后,再次运行上一个命令将会成功:

set key1 10
OK

get key1查询Redis以get key1新密钥的值。

get key1
"10"

在确认您能够在认证后在Redis客户端中运行命令后,您可以退出redis-cli

quit

接下来,我们将重新命名Redis命令,如果错误输入或恶意演员输入,可能会对您的机器造成严重损坏。

第5步 - 重命名危险命令

Redis内置的另一个安全功能涉及重命名或完全禁用某些被认为危险的命令。

当由未经授权的用户运行时,这些命令可用于重新配置,销毁或以其他方式清除数据。 与验证密码一样,重命名或禁用命令也是在/etc/redis/redis.conf文件的同一SECURITY部分中配置的。

一些被认为是危险的命令包括: FLUSHDBFLUSHALLKEYSPEXPIREDELCONFIGSHUTDOWNBGREWRITEAOFBGSAVESAVESPOPSREMRENAMEDEBUG 这不是一个全面的列表,但重命名或禁用该列表中的所有命令对于增强Redis服务器的安全性来说是一个很好的起点。

您是否应该禁用或重命名命令取决于您的特定需求或您的站点的特定需求。 如果你知道你永远不会使用可能被滥用的命令,那么你可以禁用它。 否则,重新命名它可能是最有利的。

要启用或禁用Redis命令,请再次打开配置文件:

sudo nano /etc/redis/redis.conf

警告:以下显示如何禁用和重命名命令的步骤是示例。 您只应选择禁用或重命名对您有意义的命令。 您可以查看完整的命令列表,并确定它们在redis.io/commands中的使用方式

要禁用某个命令,只需将其重命名为一个空字符串(用一对不带任何字符的引号表示),如下所示:

/etc/redis/redis.conf
. . .
# It is also possible to completely kill a command by renaming it into
# an empty string:
#
rename-command FLUSHDB ""
rename-command FLUSHALL ""
rename-command DEBUG ""
. . .

要重命名一个命令,请给它另一个名字,如下面的例子所示。 重命名的命令对别人来说应该很难猜测,但对于您来说很容易记住:

/etc/redis/redis.conf
. . .
# rename-command CONFIG ""
rename-command SHUTDOWN SHUTDOWN_MENOT
rename-command CONFIG ASC12_CONFIG
. . .

保存更改并关闭文件。

重命名命令后,通过重新启动Redis来应用更改:

sudo systemctl restart redis.service

要测试新命令,请输入Redis命令行:

redis-cli

然后,验证:

auth your_redis_password
OK

假设您将CONFIG命令重命名为ASC12_CONFIG ,如上例所示。 首先,尝试使用原始的CONFIG命令。 它会失败,因为你已经重命名了它:

config get requirepass
(error) ERR unknown command 'config'

然而,调用重命名的命令将会成功。 它不区分大小写:

asc12_config get requirepass
1) "requirepass"
2) "your_redis_password"

最后,你可以退出redis-cli

exit

请注意,如果您已经在使用Redis命令行,然后重新启动Redis,则需要重新进行身份验证。 否则,如果你输入一个命令,你会得到这个错误:

NOAUTH Authentication required.

关于重命名命令的做法,在/etc/redis/redis.conf中的SECURITY部分末尾有一个警告声明,其内容如下:

Please note that changing the name of commands that are logged into the AOF file or transmitted to slaves may cause problems.

注意: Redis项目选择使用术语“主”和“从属”,而DigitalOcean通常更倾向于选择“主要”和“次要”。为避免混淆,我们选择使用Redis文档中使用的术语这里。

这意味着,如果重命名的命令不在AOF文件中,或者如果它是,但AOF文件没有传输到从机,那么应该没有问题。

因此,当您尝试重命名命令时请记住这一点。 重命名命令的最佳时机是在不使用AOF持久性时,或在安装之后,即在部署了Redis使用应用程序之前。

当您使用AOF并处理主从安装时,请从项目的GitHub问题页面中考虑此答案 以下是对作者问题的回复:

这些命令会记录到AOF并以与发送方式相同的方式复制到从机,所以如果您尝试在不具有相同重命名的实例上重播AOF,则可能会遇到不一致情况,因为命令无法执行(同样的Minion)。

因此,在这种情况下处理重命名的最佳方式是确保重命名的命令应用于主从安装中的所有实例。

结论

在本教程中,您安装并配置了Redis,验证了您的Redis安装运行正常,并使用其内置安全功能使其不易受到恶意攻击者的攻击。

请记住,一旦有人登录到您的服务器,就很容易规避我们实施的Redis特有的安全功能。 因此,Redis服务器上最重要的安全功能是您的防火墙(如果您遵循先决条件的初始服务器安装指南,则配置您的防火墙),因为这使得恶意演员非常难以跳过该防火墙。