Redis安全加固配置基线 .docxVIP

Redis安全加固配置基线

redis数据库安全加固

redis数据库

目录

TOC\o1-2\h\z\u4412027301.概述 2

1.1适用范围 2

4873211131.2规范依据 2

20508001801.3实施策略 2

6860909102.安全配置基线标准 4

12902236272.1网络层加固 4

16461152302.2账号与认证 5

2268463092.3服务运行权限最小化 6

8224419382.4服务精细化授权 6

15768998742.5安全补丁 7

概述

适用范围

本配置基线适用于的Redis数据库，主要涉及Redis数据库安全配置方面的基本要求，用于指导安全例行工作、新系统入网安全检查等场合。

在未特别说明的情况下，均适用于所有运行的Redis数据库。

规范依据

根据目前Redis数据库的安全现状，综合参考安全运维专家的意见，结合相关规范性文件指引，制定适合的基线配置规范。

规范性引用文件：

GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》

GB/T28453-2012《信息安全技术信息系统安全管理评估要求》

GB/T25063-2010《信息安全技术服务器安全测评要求》

GB/Z24364-2009《信息安全技术信息安全风险管理指南》

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

GB/T20270-2006《信息安全技术网络基础安全技术要求》

GB/T20271-2006《信息安全技术信息系统通用安全技术要求》

GB/T20269-2006《信息安全技术信息系统安全管理要求》

YD/T2701-2014《电信网和互联网安全防护基线配置要求及检测要求_数据库》

实施策略

结合网络和信息系统建设情况，考虑安全配置项影响的范围，结合以往工作经验，提出如下安全项目实施策略：

基础项：实施安全基线能够明显提升安全水平，实施风险小，可操作性强。

建议项：实施安全基线能够提升一定安全水平，具有一定风险，可操作性较强。

序号

配置类别

基线名称

实施策略

1

网络层加固

指定Redis服务使用网卡

基础项

2

网络层加固

设置防火墙策略

基础项

3

网络层加固

更改默认端口

基础项

4

账号与认证

设置访问密码

基础项

5

服务运行权限最小化

修改Redis服务运行账号

基础项

6

服务运行权限最小化

限制Redis配置文件的访问权限

基础项

7

服务精细化授权

隐藏重要命令

建议项

8

服务精细化授权

开启保护模式

建议项

9

安全补丁

安全补丁

基础项

安全配置基线标准

网络层加固

指定Redis服务使用的网卡

基线名称

指定Redis服务使用网卡

基线编号

Tophant-Redis-1

基线说明

应对Redis的服务网卡进行绑定，可以有效缓解为未授权风险的存在，并禁止为公网IP

配置方法

在?redis.conf?文件中找到?#bind，将前面的?#去掉，然后保存。

检查方法

打开redis.conf文件，检查bind是否生效

备注

该操作需要重启Redis才能生效。

修改后只有本机才能访问Redis，也可以指定访问源IP来访问Redis。

设置防火墙策略

基线名称

配置防火墙策略

基线编号

Tophant-Redis-2

基线说明

通过iptables策略，仅允许指定的IP来访问Redis服务。

配置方法

输入命令

iptables-AINPUT-sx.x.x.x-ptcp--dport6379-jACCEPT

检查方法

输入以下命令，查看iptables现有规则。

iptables-L

备注

更改默认端口

基线名称

更改默认端口

基线编号

Tophant-Redis-3

基线说明

应该更改掉Redis服务默认端口

配置方法

打开配置文件redis.conf

将port6379更改为port****

检查方法

查看配置文件Redis

备注

账号与认证

设置访问密码

基线名称

配置防火墙策略

基线编号

Tophant-Redis-4

基线说明

应设置Redis的高强度访问密码，防止未授权访问风险的存在。

配置方法

在?redis.conf?中找到?requirepass?字段，去掉其注释，并在后面填上需要的密码。Redis客户端也需要使用此密码来访问Redis服务。

打开?/etc/redis/redis.conf?配置文件:

requirepass!