为什么 redis 会设置 AUTH ?

2018-01-26 17:11:52 +08:00
 zilan

最近正在学习 redis,发现 redis 需要设置一个密码 auth。就按照要求的做了。 但是回头一想,为什么要设置这样一个鉴权过程呢? 有没有人研究过是出于什么样的安全考虑。

7437 次点击
所在节点    PHP
35 条回复
lianxiaoyi
2018-01-27 09:31:57 +08:00
你不用可以不设置啊。。。。而且 redis 开箱就是不带密码的啊。。。。。。参考当年 mongodb 事件。。。。而且最近比特币更贵了。。。。。
Paddington
2018-01-27 09:59:35 +08:00
@lianxiaoyi 不用 mongodb 事件,redis 就出过。。
vus520
2018-01-27 10:31:58 +08:00
楼主的 redis 一定没被黑过。
wizardforcel
2018-01-27 11:01:56 +08:00
数据库不设密码叫数据库嘛
zilan
2018-01-27 15:31:28 +08:00
多谢,想表述的其实是觉得这个 auth 有点鸡肋,如果是受信任环境就不需要,但如果是一个不受信任环境,端口,ip,甚至 auth 的连接都可能被抓到,相比起来只能算是最基础的防御了。所以觉得作为出厂的安全策略有点不太合适的样子。
zilan
2018-01-27 15:32:17 +08:00
没看到 append。。。。丢人了
raphaelsoul
2018-01-27 21:36:37 +08:00
今天发现开发服务器的 redis 被人写入了一条数据,一个 cron rule。
我看了一下 shell 脚本,一个门罗币的挖矿程序。

然而,我 redis 是在 docker 里跑的,hhhh
andreby
2018-01-27 21:41:28 +08:00
不设置 auth 不安全 好像那个 config 还是 info 还有问题 会被骇
wmhack
2018-01-28 16:22:53 +08:00
会被挖矿,我朋友亲身经历
wmhack
2018-01-28 16:23:06 +08:00
会被挖矿,我朋友亲身经历过
douglarek
2018-01-28 17:19:50 +08:00
楼主我觉得你说的对;完全没有必要;反正内网用
lfzyx
2018-01-28 22:59:50 +08:00
的确是毫无意义,redis 不支持 ssl 安全通讯协议,很容易被抓包,密码也是明文保存在配置文件中,auth 只是为了防止被网络运营商之外的人黑你,网络运营商和主机托管商要黑你还是分分钟的事
zilan
2018-01-29 01:12:57 +08:00
@douglarek 我已经分不清是在黑我还是在真心说了。。。。。。
blueorange
2018-01-29 10:15:26 +08:00
@hcymk2 牛皮
pantingwen
2018-01-29 22:13:43 +08:00
个人经历过的,在自己阿里云上装了一个 redis,允许外网访问,没有设置 auth 密码,然后就悲剧了(服务被人获取 root 权限)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/426220

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX