Как установить и защитить Redis на Debian 9

Redis - это хранилище ключей-значений в памяти, известное своей гибкостью, производительностью и широкой языковой поддержкой. В этом руководстве показано, как установить, настроить и защитить Redis на сервере Debian 9.

Для выполнения этого руководства вам потребуется доступ к серверу Debian 9, на котором есть пользователь без полномочий root с привилегиями + sudo + и настроенный базовый брандмауэр. Вы можете настроить это, следуя нашему Initial Руководству по установке сервера.

Когда вы будете готовы начать, войдите на свой сервер как пользователь с поддержкой sudo и продолжайте ниже.

Чтобы получить последнюю версию Redis, мы будем использовать + apt + для ее установки из официальных репозиториев Debian.

Обновите локальный кеш пакета + apt + и установите Redis, набрав:

Это загрузит и установит Redis и его зависимости. После этого в файле конфигурации Redis необходимо внести одно важное изменение конфигурации, которое было сгенерировано автоматически во время установки.

Откройте этот файл в предпочитаемом вами текстовом редакторе:

Внутри файла найдите директиву + supervised +. Эта директива позволяет вам объявить систему инициализации для управления Redis как сервис, предоставляя вам больший контроль над его работой. По умолчанию директива + supervised + установлена ​​в + no +. Так как вы используете Debian, который использует систему инициализации systemd, измените это на + systemd +:

/etc/redis/redis.conf

Это единственное изменение, которое вам нужно внести в файл конфигурации Redis на данный момент, поэтому сохраните и закройте его, когда закончите. Затем перезагрузите файл службы Redis, чтобы отразить изменения, внесенные в файл конфигурации:

После этого вы установили и настроили Redis, и он работает на вашем компьютере. Однако прежде чем вы начнете его использовать, целесообразно сначала проверить, правильно ли работает Redis.

Как и в случае с любым новым программным обеспечением, рекомендуется убедиться, что Redis работает должным образом, прежде чем вносить какие-либо дополнительные изменения в его конфигурацию. На этом шаге мы рассмотрим несколько способов проверить, что Redis работает правильно.

Начните с проверки, что служба Redis работает:

Если он работает без каких-либо ошибок, эта команда выдаст вывод, подобный следующему:

Здесь вы можете видеть, что Redis работает и уже включен, то есть он настроен на запуск при каждой загрузке сервера.

Чтобы проверить, что Redis работает правильно, подключитесь к серверу с помощью клиента командной строки:

В следующем запросе проверьте подключение с помощью команды + ping +:

Этот вывод подтверждает, что соединение с сервером все еще живо. Затем проверьте, что вы можете установить ключи, запустив:

Получите значение, набрав:

Предполагая, что все работает, вы сможете получить сохраненное вами значение:

Убедившись, что вы можете получить значение, выйдите из приглашения Redis, чтобы вернуться в оболочку:

В качестве заключительного теста мы проверим, может ли Redis сохранять данные даже после их остановки или перезапуска. Для этого сначала перезапустите экземпляр Redis:

Затем снова подключитесь к клиенту командной строки и подтвердите, что тестовое значение все еще доступно:

Значение вашего ключа все еще должно быть доступно:

Выйдите в оболочку снова, когда вы закончите:

С этим ваша установка Redis полностью работоспособна и готова к использованию. Однако некоторые из его настроек конфигурации по умолчанию небезопасны и предоставляют злоумышленникам возможность атаковать и получать доступ к вашему серверу и его данным. Остальные шаги в этом учебном пособии охватывают методы устранения этих уязвимостей, как это предписано official на сайте Redis. Хотя эти шаги не являются обязательными, и Redis по-прежнему будет работать, если вы решите не следовать им, настоятельно рекомендуется выполнить их, чтобы повысить безопасность вашей системы.

По умолчанию Redis доступен только с * localhost *. Однако если вы установили и настроили Redis, следуя другому руководству, чем это, вы, возможно, обновили файл конфигурации, чтобы разрешить подключения из любого места. Это не так безопасно, как привязка к * localhost *.

Чтобы исправить это, откройте файл конфигурации Redis для редактирования:

Найдите эту строку и убедитесь, что она не закомментирована (удалите + # +, если она существует):

/etc/redis/redis.conf

Сохраните и закройте файл, когда закончите (нажмите + CTRL + X +, + Y +, затем + ENTER +).

Затем перезапустите сервис, чтобы systemd считал ваши изменения:

Чтобы убедиться, что это изменение вступило в силу, выполните следующую команду + netstat +:

Эти выходные данные показывают, что программа + redis-server + привязана к * localhost * (+ 127.0.0.1 +), отражая только что сделанные вами изменения в файле конфигурации. Если вы видите другой IP-адрес в этом столбце (например, «+ 0.0.0.0 +»), вам следует дважды проверить, что вы раскомментировали правильную строку, и перезапустить службу Redis снова.

Теперь, когда ваша установка Redis только прослушивает * localhost *, злоумышленникам будет сложнее делать запросы или получать доступ к вашему серверу. Тем не менее, Redis в настоящее время не требует от пользователей аутентификации перед внесением изменений в конфигурацию или данные, которые он хранит. Чтобы исправить это, Redis позволяет вам требовать, чтобы пользователи проходили аутентификацию с паролем, прежде чем вносить изменения через клиент Redis (+ redis-cli +).

Конфигурирование пароля Redis включает одну из двух встроенных функций безопасности - команду + auth +, которая требует от клиентов аутентификации для доступа к базе данных. Пароль настраивается непосредственно в файле конфигурации Redis, + / etc / redis / redis.conf +, поэтому снова откройте этот файл в предпочитаемом вами редакторе:

Прокрутите до раздела + SECURITY + и найдите закомментированную директиву, которая гласит:

/etc/redis/redis.conf

Раскомментируйте его, удалив + # +, и измените + foobared + на безопасный пароль.

После установки пароля сохраните и закройте файл, затем перезапустите Redis:

Чтобы проверить, работает ли пароль, откройте командную строку Redis:

Ниже показана последовательность команд, используемая для проверки работоспособности пароля Redis. Первая команда пытается установить ключ к значению до аутентификации:

Это не сработает, потому что вы не прошли аутентификацию, поэтому Redis возвращает ошибку:

Следующая команда аутентифицируется с паролем, указанным в файле конфигурации Redis:

Redis признает:

После этого повторное выполнение предыдущей команды завершится успешно:

+ get key1 + запрашивает у Redis значение нового ключа.

Убедившись, что вы можете запускать команды в клиенте Redis после аутентификации, вы можете выйти из + redis-cli +:

Далее мы рассмотрим переименование команд Redis, которые, если они были введены по ошибке или злонамеренным пользователем, могут нанести серьезный ущерб вашей машине.

Другая функция безопасности, встроенная в Redis, включает переименование или полное отключение определенных команд, которые считаются опасными.

При запуске неавторизованными пользователями такие команды могут использоваться для изменения конфигурации, уничтожения или иного удаления данных. Как и пароль аутентификации, команды переименования или отключения настраиваются в том же разделе + SECURITY + файла + / etc / redis / redis.conf +.

Некоторые команды, которые считаются опасными, включают: * FLUSHDB *, * FLUSHALL *, * KEYS *, * PEXPIRE *, * DEL *, * CONFIG *, * SHUTDOWN *, * BGREWRITEAOF *, * BGSAVE *, * SAVE *, * SPOP *, * SREM *, * RENAME * и * DEBUG *. Это не полный список, но переименование или отключение всех команд в этом списке является хорошей отправной точкой для повышения безопасности вашего сервера Redis.

Нужно ли отключать или переименовывать команду, зависит от ваших конкретных потребностей или потребностей вашего сайта. Если вы знаете, что никогда не будете использовать команду, которая может быть нарушена, вы можете отключить ее. В противном случае, это может быть в ваших интересах, чтобы переименовать его.

Чтобы включить или отключить команды Redis, еще раз откройте файл конфигурации:

Чтобы отключить команду, просто переименуйте ее в пустую строку (обозначенную парой кавычек без символов между ними), как показано ниже:

/etc/redis/redis.conf

Чтобы переименовать команду, дайте ей другое имя, как показано в примерах ниже. Переименованные команды должны быть сложными для других, но легко запоминаемыми:

/etc/redis/redis.conf

Сохраните ваши изменения и закройте файл.

После переименования команды примените изменения, перезапустив Redis:

Чтобы проверить новую команду, введите командную строку Redis:

Затем подтвердите:

Предположим, что вы переименовали команду + CONFIG + в + ASC12_CONFIG +, как в предыдущем примере. Сначала попробуйте использовать оригинальную команду + CONFIG +. Он должен потерпеть неудачу, потому что вы переименовали его:

Однако вызов переименованной команды будет успешным. Он не чувствителен к регистру:

Наконец, вы можете выйти из + redis-cli:

Обратите внимание, что если вы уже используете командную строку Redis и затем перезапускаете Redis, вам нужно будет пройти повторную аутентификацию. В противном случае вы получите эту ошибку, если наберете команду:

В этом руководстве вы установили и настроили Redis, проверили, что ваша установка Redis работает правильно, и использовали встроенные функции безопасности, чтобы сделать ее менее уязвимой для атак злоумышленников.

Имейте в виду, что, как только кто-то вошел в систему на вашем сервере, очень легко обойти функции безопасности, связанные с Redis, которые мы ввели. Поэтому наиболее важной функцией безопасности на вашем сервере Redis является брандмауэр (который вы настроили, если выполнили предварительное условие https://www.digitalocean.com/community/tutorials/initial-server-setup-with-debian-9#step -four-% E2% 80% (учебник по начальной настройке брандмауэра (начальная настройка сервера)), поскольку злоумышленникам крайне сложно преодолеть этот барьер.