Redis、Tomact安全漏洞处理

本文主要是介绍Redis、Tomact安全漏洞处理，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

最近在工作中遇到了一些Redis/Tomact安全漏洞问题，在此整理了一下：

一：Redis安全加固及安全漏洞处理

1.禁止一些高危命令（重启redis才能生效）
修改 redis.conf 文件，禁用远程修改 DB 文件地址

rename-command FLUSHALL ""
rename-command CONFIG ""
rename-command EVAL ""

或者通过修改redis.conf文件，改变这些高危命令的名称

rename-command FLUSHALL "name1"
rename-command CONFIG "name2"
rename-command EVAL "name3”

2. 以低权限运行 Redis 服务（重启redis才能生效）
   为 Redis 服务创建单独的用户和家目录，并且配置禁止登陆

groupadd -r redis && useradd -r -g redis redis

3. 为 Redis 添加密码验证（重启redis才能生效）
   修改 redis.conf 文件，添加

requirepass mypassword

4. 禁止外网访问 Redis（重启redis才能生效）

修改 redis.conf 文件，添加或修改，使得 Redis 服务只在当前主机可用

bind 127.0.0.1

在redis3.2之后，redis增加了protected-mode，在这个模式下，非绑定IP或者没有配置密码访问时都会报错

5.修改默认端口
修改配置文件redis.conf文件

Port 6379

默认端口是6379，可以改变成其他端口（不要冲突就好）
6. 保证 authorized_keys 文件的安全
为了保证安全，您应该阻止其他用户添加新的公钥。

将 authorized_keys 的权限设置为对拥有者只读，其他用户没有任何权限：

chmod 400 ~/.ssh/authorized_keys

为保证 authorized_keys 的权限不会被改掉，您还需要设置该文件的 immutable 位权限:

chattr +i ~/.ssh/authorized_keys

然而，用户还可以重命名 ~/.ssh，然后新建新的 ~/.ssh 目录和 authorized_keys 文件。要避免这种情况，需要设置 ~./ssh 的 immutable 权限：

chattr +i ~/.ssh

7. 设置防火墙策略　　
   如果正常业务中Redis服务需要被其他服务器来访问，可以设置iptables策略仅允许指定的IP来访问Redis服务。

二：Tomact安全漏洞处理

1. CVE-2018-130 影响范围
   受影响的版本Apache Tomcat < 9.0.5Apache Tomcat < 8.5.28Apache Tomcat < 8.0.50Apache Tomcat < 7.0.85安全的版本
   Apache Tomcat 9.0.5

   Apache Tomcat 8.5.28
   
   Apache Tomcat 8.0.50
   
   Apache Tomcat 7.0.85
   

2. CVE-2018-130 影响排查
   根据官方描述，此漏洞触发的前提有：

3. 业务系统部署在低版本的Tomcat中。

4. 业务系统通过注解的方式定义安全约束。

2、修改权限
　　我们把tomcat-users.xml文件倒数第二行中的改为，去掉了admin后面的manager，即取消了管理员权限。然后重启tomcat(必须要重启，因为Tomcat重启时会加载配置文件，这样刚才的修改才会生效)。

 tomact安全漏洞一般可以进行升级版本来解决，有些版本已经修复了此类漏洞，具体可以进行查询漏洞版本然后去找寻匹配的tomact版本号。

这篇关于Redis、Tomact安全漏洞处理的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！