这是一个创建于 620 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
rekulas 2023-03-08 13:23:48 +08:00
如果机器只有自己在用一般不需要
|
 |
2
julyclyde 2023-03-08 15:23:43 +08:00
这么干的人估计不少,但应该都不敢提出这种建议
|
 |
3
huluhulu 2023-03-08 15:29:02 +08:00  5
这样的话,无疑把 redis 的安全交给了系统中的其他最短的那个短板。只要那个短板被攻破了,redis 就被攻破了。
|
 |
4
xiaocaiji111 2023-03-08 15:42:35 +08:00
没有公网 ip 可以这么搞
|
 |
5
ciki 2023-03-08 15:43:19 +08:00
不开放到公网就没事
|
 |
6
ijrou 2023-03-08 15:44:52 +08:00 via Android
难道你还想将它设置监听为 0.0.0.0 ?
|
 |
7
zjj19950716 2023-03-08 16:02:47 +08:00
直接连 socket 性能还高
|
 |
8
dobelee 2023-03-08 16:07:18 +08:00
能保证内网安全就无需鉴权,毕竟你的服务配置也有明文密码。
|
 |
9
gant 2023-03-08 16:35:11 +08:00
确实,我就本机没设置密码,但我不敢建议别人不用密码
|
 |
10
Nicklove 2023-03-08 16:39:23 +08:00
只监听 127.0.0.1 代表只有本机能够访问。但是希望实际的操作也是如此。比如说去年 docker 曾出现一个安全隐患 https://blog.csdn.net/alex_yangchuansheng/article/details/125465862 ,https://news.ycombinator.com/item?id=31839936
|
 |
11
ETiV 2023-03-08 16:43:05 +08:00 via iPhone
直接访问 local 的端口是一点权限验证都没有的,你本机的任意用户都能访问,所以把 dockerd 监听在 TCP 上是极度不推荐的
可以考虑监听到 sock 路径上,可以配置一下 user group 什么的 |
 |
12
dolorain 2023-03-08 16:45:40 +08:00
没什么好怕的,老子就这样。
|
 |
13
i979491586 2023-03-08 16:48:34 +08:00
看了楼上的回答,希望你们都不要进国家新成立的数据安全局,害怕
|
 |
14
wunonglin 2023-03-08 16:54:07 +08:00
我不会建议你这样做。但是我是这样做的
|
 |
15
LWFF 2023-03-08 16:55:16 +08:00
楼上怕什么,我们的数据早就已经被泄露无数遍了
|
 |
16
exiaoxing 2023-03-08 17:04:49 +08:00
出现 ssrf 的话风险挺大的
|
 |
17
JKeita 2023-03-08 17:19:25 +08:00
设置个密码也没多大的事吧,万一真出问题谁担责呢。
|
 |
18
Les1ie 2023-03-08 18:20:46 +08:00 2
即使只监听 127.0.0.1, 我仍然建议给 redis 设置强密码。
如果机器上面有其他服务存在漏洞,比如网站有 ssrf 漏洞,那么攻击者可能通过 ssrf 攻击 redis ,进而获取系统权限。 网上有很多关于这个攻击路径的分析,比如 https://www.freebuf.com/articles/web/263556.html |
 |
19
ghostheaven 2023-03-08 19:16:30 +08:00
这得本机的所有进程都是安全的才行
|
 |
20
zhoudaiyu 2023-03-08 19:22:45 +08:00
用 unix domain socket 更好一些吧
|
 |
21
tairan2006 2023-03-08 20:11:16 +08:00
你指的自己机器还是服务器?服务器的话建议别监听 127.0.0.1 ,后面别的服务要共享还要重启…自己电脑随意
|
 |
22
kenvix 2023-03-08 20:18:55 +08:00
你最好确认其他系统没有什么漏洞先。。。
|
 |
23
kdwnil 2023-03-08 20:34:04 +08:00 via Android
可能很多人都这么做,但大伙都不敢这样建议。。。
|
 |
24
AS4694lAS4808 2023-03-08 20:52:02 +08:00 via Android
告诉我公网 IP[狗头]
|
 |
25
yazinnnn 2023-03-08 21:14:54 +08:00 via Android
那如果换成监听 domain socket 会安全些吗
|
 |
26
leaflxh 2023-03-08 21:22:20 +08:00
单独一台机器上部署并定期更换强密码,然后被系统漏洞攻下来(
|
 |
27
Ericcccccccc 2023-03-08 21:52:52 +08:00
@i979491586 可以搜 10 亿公安数据泄露. 负责这些东西的人, 大概率和数据安全局是一批人.
|
 |
28
MossFox 2023-03-08 22:42:30 +08:00
类似于 nps ( https://github.com/ehang-io/nps ) 的程序如果被恶意利用,是可以远程以本地网络身份去进行未授权访问的。
……不过我没什么具体经验,就稍微提一下。 |
 |
29
Kumo31 2023-03-08 23:17:14 +08:00
不建议无条件信任内网或本地的访问,之前遇到过的例子是,很多在线简历网站都是基于 HTML 排版的,在下载 PDF 时会在服务器中开一个无头浏览器进行渲染,大部分都可以直接往简历里丢个 <iframe> ,等它渲染时就能以服务器身份访问,得到一些内网信息了,批量扫了一堆这种 SSRF 漏洞
|
 |
30
dcsuibian 2023-03-08 23:21:42 +08:00
设个密码那么费劲儿么
我自己开发机也不设密码,但生产环境的话,肯定会弄啊 |
 |
31
dnsaq 2023-03-09 07:32:05 +08:00 via iPhone
有个东西叫安全基线,设不设置都一样用。但这些看起来多余的操作实际抬高了安全基线,肯定是有好处的。某些 0day 利用骚姿势可比你想象的还要多,别高估了自己的智商。
|
|
32
dnsaq 2023-03-09 07:33:45 +08:00 via iPhone
一句话 对安全保持敬畏 ,能做的就不要嫌麻烦。
|
 |
33
onice 2023-03-09 09:13:18 +08:00
redis 只监听 127.0.0.1 ,,如果没密码,如果攻击者通过 web 层拿到 webshell ,,就可以通过本地直连 redis 重写 ssh 密钥控制服务器。
|
 |
34
nothingistrue 2023-03-09 09:36:40 +08:00
个人开发环境,你随便搞。但生产环境上,redis 一般都不在本机,而监听范围只能在 127.0.0.1 和 0.0.0.0 之间二选一。
|
 |
35
junmoxiao 2023-03-09 10:01:35 +08:00
如果 redis 是高权限,可以用来提权
|
 |
36
busier 2023-03-09 16:49:04 +08:00
只是不能网络直连而已!中木马或得到 Shell 一样可以连进来!自己拿捏!
|
 |
37
kanepan19 2023-03-09 20:14:25 +08:00
零信任 谢谢
|
Select Language