TOC

Comment installer et sécuriser Redis sur Ubuntu 18.04

Une version précédente de ce tutoriel a été écrite parJustin Ellingwood

introduction

Redis est un magasin de valeurs-clés en mémoire connu pour sa flexibilité, ses performances et sa prise en charge étendue des langues. Ce tutoriel explique comment installer, configurer et sécuriser Redis sur un serveur Ubuntu 18.04.

Conditions préalables

Pour compléter ce guide, vous aurez besoin d'accéder à un serveur Ubuntu 18.04 qui a un utilisateur non root avec les privilègessudo et un pare-feu de base configuré. Vous pouvez configurer cela en suivant nosInitial Server Setup guide.

Lorsque vous êtes prêt à commencer, connectez-vous à votre serveur Ubuntu 18.04 en tant qu'utilisateursudo et continuez ci-dessous.

[[step-1 -—- installation-and-configuring-redis]] == Étape 1 - Installation et configuration de Redis

Afin d'obtenir la dernière version de Redis, nous utiliseronsapt pour l'installer à partir des référentiels officiels Ubuntu.

Mettez à jour votre cache de packageapt local et installez Redis en tapant: 

sudo apt update
sudo apt install redis-server

Cela téléchargera et installera Redis et ses dépendances. Ensuite, il y a un changement de configuration important à apporter dans le fichier de configuration Redis, qui a été généré automatiquement lors de l'installation.

Ouvrez ce fichier avec votre éditeur de texte préféré: 

sudo nano /etc/redis/redis.conf

Dans le fichier, recherchez la directivesupervised. Cette directive vous permet de déclarer un système init pour gérer Redis en tant que service, ce qui vous permet de mieux contrôler son fonctionnement. La directivesupervised est définie surno par défaut. Puisque vous exécutez Ubuntu, qui utilise le système d'initialisation systemd, remplacez-le parsystemd:

/etc/redis/redis.conf

. . .

# If you run Redis from upstart or systemd, Redis can interact with your
# supervision tree. Options:
#   supervised no      - no supervision interaction
#   supervised upstart - signal upstart by putting Redis into SIGSTOP mode
#   supervised systemd - signal systemd by writing READY=1 to $NOTIFY_SOCKET
#   supervised auto    - detect upstart or systemd method based on
#                        UPSTART_JOB or NOTIFY_SOCKET environment variables
# Note: these supervision methods only signal "process is ready."
#       They do not enable continuous liveness pings back to your supervisor.
supervised systemd

. . .

C’est la seule modification que vous devez apporter au fichier de configuration Redis à ce stade. Enregistrez-le et fermez-le lorsque vous avez terminé. Ensuite, redémarrez le service Redis pour refléter les modifications apportées au fichier de configuration: 

sudo systemctl restart redis.service

Avec cela, vous avez installé et configuré Redis et il est exécuté sur votre ordinateur. Avant de commencer à l'utiliser, il est toutefois prudent de vérifier au préalable que Redis fonctionne correctement.

[[step-2 -—- testing-redis]] == Étape 2 - Test de Redis

Comme pour tout logiciel nouvellement installé, il est judicieux de s’assurer que Redis fonctionne comme prévu avant d’apporter de nouvelles modifications à sa configuration. Nous allons examiner quelques moyens pour vérifier que Redis fonctionne correctement à cette étape.

Commencez par vérifier que le service Redis est en cours d'exécution: 

sudo systemctl status redis

Si elle est exécutée sans erreur, cette commande produira une sortie similaire à celle-ci: 

Output● redis-server.service - Advanced key-value store
   Loaded: loaded (/lib/systemd/system/redis-server.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2018-06-27 18:48:52 UTC; 12s ago
     Docs: http://redis.io/documentation,
           man:redis-server(1)
  Process: 2421 ExecStop=/bin/kill -s TERM $MAINPID (code=exited, status=0/SUCCESS)
  Process: 2424 ExecStart=/usr/bin/redis-server /etc/redis/redis.conf (code=exited, status=0/SUCCESS)
 Main PID: 2445 (redis-server)
    Tasks: 4 (limit: 4704)
   CGroup: /system.slice/redis-server.service
           └─2445 /usr/bin/redis-server 127.0.0.1:6379
. . .

Ici, vous pouvez voir que Redis est en cours d'exécution et est déjà activé, ce qui signifie qu'il est configuré pour démarrer à chaque démarrage du serveur.

[.Remarque]##

Note: Ce paramètre est souhaitable pour de nombreux cas d'utilisation courants de Redis. Si, toutefois, vous préférez démarrer Redis manuellement à chaque démarrage de votre serveur, vous pouvez le configurer avec la commande suivante: 

sudo systemctl disable redis

Pour vérifier que Redis fonctionne correctement, connectez-vous au serveur à l'aide du client de ligne de commande: 

redis-cli

Dans l'invite qui suit, testez la connectivité avec la commandeping: 

ping
OutputPONG

Cette sortie confirme que la connexion au serveur est toujours active. Ensuite, vérifiez que vous pouvez définir les clés en exécutant: 

set test "It's working!"
OutputOK

Récupérez la valeur en tapant: 

get test

En supposant que tout fonctionne, vous pourrez récupérer la valeur que vous avez stockée: 

Output"It's working!"

Après avoir confirmé que vous pouvez récupérer la valeur, quittez l’invite Redis pour revenir au shell: 

exit

Enfin, nous vérifierons si Redis est capable de conserver des données même après leur arrêt ou leur redémarrage. Pour ce faire, redémarrez d’abord l’instance Redis: 

sudo systemctl restart redis

Ensuite, connectez-vous à nouveau au client de ligne de commande et confirmez que votre valeur de test est toujours disponible: 

redis-cli
get test

La valeur de votre clé doit toujours être accessible: 

Output"It's working!"

Sortez dans la coquille à nouveau lorsque vous avez terminé: 

exit

Avec cela, votre installation Redis est entièrement opérationnelle et prête à être utilisée. Cependant, certains de ses paramètres de configuration par défaut ne sont pas sécurisés et offrent aux acteurs malveillants la possibilité d’attaquer et d’accéder à votre serveur et à ses données. Les étapes restantes de ce didacticiel couvrent les méthodes d'atténuation de ces vulnérabilités, telles que prescrites par lesofficial Redis website. Bien que ces étapes soient facultatives et que Redis fonctionnera toujours si vous choisissez de ne pas les suivre, il eststrongly recommandé que vous les exécutiez afin de renforcer la sécurité de votre système.

[[step-3 -—- binding-to-localhost]] == Étape 3 - Liaison à localhost

Par défaut, Redis n'est accessible qu'à partir delocalhost. Toutefois, si vous avez installé et configuré Redis en suivant un didacticiel différent de celui-ci, vous avez peut-être mis à jour le fichier de configuration pour autoriser les connexions à partir de n'importe où. Ce n'est pas aussi sûr que la liaison àlocalhost.

Pour corriger cela, ouvrez le fichier de configuration Redis pour le modifier: 

sudo nano /etc/redis/redis.conf

Localisez cette ligne et assurez-vous qu'elle n'est pas commentée (supprimez les# s'il existe):

/etc/redis/redis.conf

bind 127.0.0.1 ::1

Enregistrez et fermez le fichier lorsque vous avez terminé (appuyez surCTRL + X,Y, puisENTER).

Ensuite, redémarrez le service pour vous assurer que systemd lit vos modifications: 

sudo systemctl restart redis

Pour vérifier que cette modification est entrée en vigueur, exécutez la commandenetstat suivante: 

sudo netstat -lnp | grep redis
Outputtcp        0      0 127.0.0.1:6379          0.0.0.0:*               LISTEN      14222/redis-server
tcp6       0      0 ::1:6379                :::*                    LISTEN      14222/redis-server

Cette sortie montre que le programmeredis-server est lié àlocalhost (127.0.0.1), reflétant la modification que vous venez d'apporter au fichier de configuration. Si vous voyez une autre adresse IP dans cette colonne (0.0.0.0, par exemple), vous devez vérifier que vous avez décommenté la ligne correcte et redémarrer le service Redis.

Maintenant que votre installation Redis n'écoute que surlocalhost, il sera plus difficile pour les acteurs malveillants de faire des requêtes ou d'accéder à votre serveur. Cependant, Redis n’est pas actuellement configuré pour demander aux utilisateurs de s’authentifier avant de modifier sa configuration ou les données qu’il contient. Pour y remédier, Redis vous permet d'exiger des utilisateurs qu'ils s'authentifient avec un mot de passe avant d'effectuer des modifications via le client Redis (redis-cli).

[[step-4 -—- configuring-a-redis-password]] == Étape 4 - Configuration d'un mot de passe Redis

La configuration d'un mot de passe Redis active l'une de ses deux fonctions de sécurité intégrées - la commandeauth, qui oblige les clients à s'authentifier pour accéder à la base de données. Le mot de passe est configuré directement dans le fichier de configuration de Redis,/etc/redis/redis.conf, alors ouvrez à nouveau ce fichier avec votre éditeur préféré: 

sudo nano /etc/redis/redis.conf

Faites défiler jusqu'à la sectionSECURITY et recherchez une directive commentée qui lit:

/etc/redis/redis.conf

# requirepass foobared

Décommentez-le en supprimant les# et remplacezfoobared par un mot de passe sécurisé.

[.Remarque]##

Note: Au-dessus de la directiverequirepass dans le fichierredis.conf, il y a un avertissement commenté: 

# Warning: since Redis is pretty fast an outside user can try up to
# 150k passwords per second against a good box. This means that you should
# use a very strong password otherwise it will be very easy to break.
#

Il est donc important de spécifier une valeur très forte et très longue comme mot de passe. Plutôt que de créer un mot de passe vous-même, vous pouvez utiliser la commandeopenssl pour en générer un au hasard, comme dans l'exemple suivant. En redirigeant la sortie de la première commande vers la deuxième commandeopenssl, comme indiqué ici, il supprimera tous les sauts de ligne produits par cette première commande: 

openssl rand 60 | openssl base64 -A

Votre sortie devrait ressembler à quelque chose comme: 

OutputRBOJ9cCNoGCKhlEBwQLHri1g+atWgn4Xn4HwNUbtzoVxAYxkiYBi7aufl4MILv1nxBqR4L6NNzI0X6cE

Après avoir copié et collé la sortie de cette commande en tant que nouvelle valeur pourrequirepass, elle devrait lire: 

/etc/redis/redis.confrequirepass RBOJ9cCNoGCKhlEBwQLHri1g+atWgn4Xn4HwNUbtzoVxAYxkiYBi7aufl4MILv1nxBqR4L6NNzI0X6cE

Après avoir défini le mot de passe, enregistrez et fermez le fichier, puis redémarrez Redis: 

sudo systemctl restart redis.service

Pour vérifier que le mot de passe fonctionne, accédez à la ligne de commande Redis: 

redis-cli

Ce qui suit montre une séquence de commandes permettant de vérifier si le mot de passe Redis fonctionne. La première commande tente de définir une clé sur une valeur avant l'authentification: 

set key1 10

Cela ne fonctionnera pas car vous ne vous êtes pas authentifié, donc Redis renvoie une erreur: 

Output(error) NOAUTH Authentication required.

La commande suivante s'authentifie avec le mot de passe spécifié dans le fichier de configuration Redis: 

auth your_redis_password

Redis reconnaît: 

OutputOK

Après cela, exécuter à nouveau la commande précédente réussira: 

set key1 10
OutputOK

get key1 demande à Redis la valeur de la nouvelle clé. 

get key1
Output"10"

Après avoir confirmé que vous êtes en mesure d'exécuter des commandes dans le client Redis après l'authentification, vous pouvez quitter lesredis-cli: 

quit

Nous verrons ensuite comment renommer les commandes Redis qui, si elles étaient entrées par erreur ou par un acteur malveillant, pourraient sérieusement endommager votre ordinateur.

[[step-5 -—- renaming-dangerous-commands]] == Étape 5 - Renommer les commandes dangereuses

L’autre fonctionnalité de sécurité intégrée à Redis consiste à renommer ou à désactiver complètement certaines commandes considérées comme dangereuses.

Lorsqu'elles sont exécutées par des utilisateurs non autorisés, ces commandes peuvent être utilisées pour reconfigurer, détruire ou effacer vos données. Comme le mot de passe d'authentification, le changement de nom ou la désactivation des commandes est configuré dans la même sectionSECURITY du fichier/etc/redis/redis.conf.

Certaines des commandes considérées comme dangereuses incluent:FLUSHDB,FLUSHALL,KEYS,PEXPIRE,DEL,CONFIG,SHUTDOWN,BGREWRITEAOF,BGSAVE,SAVE,SPOP,SREM,RENAME etDEBUG. Cette liste n’est pas exhaustive, mais renommer ou désactiver toutes les commandes de cette liste est un bon point de départ pour améliorer la sécurité de votre serveur Redis.

Que vous deviez désactiver ou renommer une commande dépend de vos besoins spécifiques ou de ceux de votre site. Si vous savez que vous n'utiliserez jamais une commande susceptible d'être utilisée de manière abusive, vous pouvez la désactiver. Sinon, il pourrait être dans votre intérêt de le renommer.

Pour activer ou désactiver les commandes Redis, rouvrez le fichier de configuration: 

sudo nano  /etc/redis/redis.conf

[.warning] #Warning: Les étapes suivantes montrant comment désactiver et renommer des commandes sont des exemples. Vous ne devez choisir de désactiver ou de renommer que les commandes qui vous conviennent. Vous pouvez consulter la liste complète des commandes par vous-même et déterminer comment elles pourraient être mal utilisées àredis.io/commands.
#

Pour désactiver une commande, renommez-la simplement en une chaîne vide (indiquée par une paire de guillemets ne contenant pas de caractères), comme indiqué ci-dessous:

/etc/redis/redis.conf

. . .
# It is also possible to completely kill a command by renaming it into
# an empty string:
#
rename-command FLUSHDB ""
rename-command FLUSHALL ""
rename-command DEBUG ""
. . .

Pour renommer une commande, attribuez-lui un autre nom, comme indiqué dans les exemples ci-dessous. Les commandes renommées devraient être difficiles à deviner, mais faciles à retenir:

/etc/redis/redis.conf

. . .
# rename-command CONFIG ""
rename-command SHUTDOWN SHUTDOWN_MENOT
rename-command CONFIG ASC12_CONFIG
. . .

Enregistrez vos modifications et fermez le fichier.

Après avoir renommé une commande, appliquez la modification en redémarrant Redis: 

sudo systemctl restart redis.service

Pour tester la nouvelle commande, entrez la ligne de commande Redis: 

redis-cli

Ensuite, authentifiez-vous: 

auth your_redis_password
OutputOK

Supposons que vous ayez renommé la commandeCONFIG enASC12_CONFIG, comme dans l'exemple précédent. Tout d'abord, essayez d'utiliser la commande d'origineCONFIG. Il devrait échouer car vous l'avez renommé: 

config get requirepass
Output(error) ERR unknown command 'config'

L'appel de la commande renommée, cependant, réussira. Ce n'est pas sensible à la casse: 

asc12_config get requirepass
Output1) "requirepass"
2) "your_redis_password"

Enfin, vous pouvez quitterredis-cli: 

exit

Notez que si vous utilisez déjà la ligne de commande Redis puis redémarrez Redis, vous devrez vous authentifier à nouveau. Sinon, vous obtiendrez cette erreur si vous tapez une commande: 

OutputNOAUTH Authentication required.

[.Attention]##

En ce qui concerne la pratique de renommer les commandes, il y a une mise en garde à la fin de la sectionSECURITY dans/etc/redis/redis.conf qui se lit comme suit:

Please note that changing the name of commands that are logged into the AOF file or transmitted to slaves may cause problems.

Remarque: Le projet Redis choisit d'utiliser les termes «maître» et «esclave», tandis que DigitalOcean préfère généralement les alternatives «primaire» et «secondaire». Afin d'éviter toute confusion, nous avons choisi d'utiliser les termes utilisés dans la documentation Redis ici.

Cela signifie que si la commande renommée ne se trouve pas dans le fichier AOF, ou si elle l'est mais que le fichier AOF n'a pas été transmis aux esclaves, il ne devrait pas y avoir de problème.

Donc, gardez cela à l'esprit lorsque vous essayez de renommer des commandes. Le meilleur moment pour renommer une commande est lorsque vous n'utilisez pas la persistance AOF, ou juste après l'installation, c'est-à-dire avant le déploiement de votre application utilisant Redis.

Lorsque vous utilisez AOF et que vous gérez une installation maître-esclave, pensez àthis answer from the project’s GitHub issue page. Voici une réponse à la question de l’auteur:

Les commandes sont journalisées sur l'AOF et répliquées sur l'esclave de la même manière qu'elles sont envoyées, donc si vous essayez de rejouer l'AOF sur une instance qui n'a pas le même renommage, vous pouvez rencontrer des incohérences car la commande ne peut pas être exécutée ( idem pour les esclaves).

Ainsi, la meilleure façon de gérer le changement de nom dans de tels cas est de s'assurer que les commandes renommées sont appliquées à toutes les instances des installations maître-esclave.

Conclusion

Dans ce didacticiel, vous avez installé et configuré Redis, validé le bon fonctionnement de votre installation Redis et utilisé ses fonctionnalités de sécurité intégrées pour le rendre moins vulnérable aux attaques d’acteurs malveillants.

N'oubliez pas qu'une fois que quelqu'un est connecté à votre serveur, il est très facile de contourner les fonctionnalités de sécurité spécifiques à Redis que nous avons mises en place. Par conséquent, la fonctionnalité de sécurité la plus importante sur votre serveur Redis est votre pare-feu (que vous avez configuré si vous avez suivi le didacticiel des prérequisInitial Server Setup), car cela rend extrêmement difficile pour les acteurs malveillants de sauter cette barrière.

Related