Redis缓存数据库安全加固指导（一）

13432878738

背景
　　在众多开源缓存技术中，Redis无疑是目前功能最为强大，应用最多的缓存技术之一，参考2018年国外数据库技术权威网站DB-Engines关于key-value数据库流行度排名，Redis暂列第一位，但是原生Redis版本在安全方面非常薄弱，很多地方不满足安全要求，如果暴露在公网上，极易受到恶意×××，导致数据泄露和丢失。
　　本文主要是在原生开源软件Redis3.0基础上，系统的在安全特性方面进行的增强,很多增强点涉及了开源代码的修改，后续章节阐述的Redis缓存数据库的安全规范, 理论上适用于所有应用Redis的产品。
　　本系列共连载三篇，分九个章节，本文从合法监听接口，未公开接口，访问通道控制三个章节阐述了Redis缓存数据库加固措施
1、合法监听接口
1.1 端口使用非默认端口
　　安全问题：Redis Server监听的端口默认为6379,容易被扫描×××。
　　解决方案：修改为非默认端口，并在端口矩阵中说明。
1.2 监听地址不允许包括*
　　安全问题：Redis支持监听0.0.0.0。
　　解决方案：因为如果有多网卡，应该将监听地址设置为只有数据库客户端需要连接的网卡地址。如果只允许本机访问，应该只监听127.0.0.1。
1.3 隐蔽的RedisCluster端口
　　安全问题：官方RedisCluster方案缺省会增加一个集群端口，且是在客户端端口偏移10000，这个问题非常隐蔽。
　　解决方案：在端口矩阵中对额外的这个集群端口有说明。修改源码,新增一个redis.conf偏移量配置项cluster-port-increment，缺省配置+1，这样可以做到端口范围可控，避免冲突。
2、未公开接口
2.1 账号管理(重要)
　　安全问题：Redis只有一个超户，权限过大。
　　解决方案：权限最小化原则，增加配置项，角色区分超户，普通用户和只读用户三种。

　　普通用户不能进行的操作有：

2.2 Redis-cli隐藏密码
　　安全问题：通过在redis-cli指定-a参数，密码会被ps出来，属于敏感信息。
　　解决方案：修改Redis源码,在main进入后，立即隐藏掉密码，避免被ps出来。(可参考开源Mysql代码)
2.3 Redis-cli工具使用说明
　　对于需在现网维护阶段使用的命令/参数、端口等接入方式（包括但不限于产品的生产、调测、维护用途），需通过产品资料等向客户或监管机构公开或受限公开。
2.4 禁止在脚本中通过sudo方式切换用户执行redis-cli
　　安全问题： redis-cli访问参数带密码敏感信息,会被ps出来,也容易被系统记录操作日志。
　　解决方案：改为通过API方式(Python可以使用redis-py)来安全访问,禁止通过sudo方式切换到dbuser账号使用redis-cli。
　　重现条件：可以通过iptables禁掉redis端口来模拟重现。
3、访问通道控制
3.1 预共享秘钥认证(重要)
　　安全问题：Redis原生认证存在重放×××:只是简单的交互一次auth xxx
　　解决方案：采用预共享秘钥(对称加密算法+随机数的双向认证)，同时在方案设计上做到最大限度兼容，让客户端改造成本最小，目前平台配套目前支持客户端有:Java，Python，C，Lua。
　　方案设计如下：
　　Redis认证协议变更,其中auth命令区分两种功能,通过首字母区分：

　　预共享秘钥认证时序图

　　说明：Redis为文本协议, 安全随机数长度固定为32字节的可显示字符串，连接2个随机数的分隔符为”@”。
　　主要认证流程：
　　1.客户端向服务端执行命令: authRAND_C
　　1)首字母1)验证TokenBA是否合法
　　解密出RAND_S@RAND_C，看看RAND_C是否是自己生成的随机数
2)客户端产生TokenAB=AES128(RAND_C@RAND_S@dbname@ossdbuser@pwd)
　　3)调用认证接口: auth >TokenAB
　　4.服务端认证

　　1)      验证TokenAB是否合%E8%A7%A3%E5%AF%86%E5%87%BARAND_C@RAND_S%EF%BC%8C%E7%9C%8B%E7%9C%8BRAND_S%E6%98%AF%E5%90%A6%E6%98%AF%E8%87%AA%E5%B7%B1%E7%94%9F%E6%88%90%E7%9A%84%E9%9A%8F%E6%9C%BA%E6%95%B0