Bitte beachten Sie: Um zu verhindern, dass jeder Client mit Netzwerkzugriff Lese- und Schreibzugriff auf die Daten des Redis-Servers erhält, sollte Redis mit einem Passwort abgesichert werden. Zusätzliche Sicherheit bietet die Deaktivierung von systemkritischen Redis-Befehlen.
Bitte beachten Sie: Standardmäßig ist Redis ohne Passwort installiert. Daher empfehlen wir ein (möglichst sicheres) Passwort zu setzen.
Wenn Redis nicht lokal auf dem Webserver installiert ist und somit der Zugriff über das Netzwerk erfolgt, sollten Sie Redis so konfigurieren, dass von allen Clients eine Authentifizierung erforderlich ist. Dies können Sie in der Konfigurationsdatei von Redis wie folgt aktivieren.
# Require clients to issue AUTH <PASSWORD> before processing any other
# commands. This might be useful in environments in which you do not trust
# others with access to the host running redis-server.
#
# This should stay commented out for backward compatibility and because most
# people do not need auth (e.g. they run their own servers).
#
# Warning: since Redis is pretty fast an outside user can try up to
# 150k passwords per second against a good box. This means that you should
# use a very strong password otherwise it will be very easy to break.
#
# requirepass foobared
Kommentieren Sie die Zeile mit requirepass foobared ein, indem Sie das #-Zeichen entfernen und ändern Sie foobared in ein sicheres Passwort:
requirepass aPrettyl0ng@ndhardtObruteforcepassword
Sicherheitskritische Redis-Befehle
Das andere in Redis integrierte Sicherheitsmerkmal besteht darin, bestimmte Befehle, die als gefährlich gelten, umzubenennen oder vollständig zu deaktivieren. Wenn sie von nicht autorisierten Benutzern ausgeführt werden, können solche Befehle verwendet werden, um Ihre Daten neu zu konfigurieren, zu zerstören oder anderweitig zu löschen.
Wie das Authentifizierungspasswort werden auch die Befehle zum Umbenennen oder Deaktivieren im gleichen Abschnitt innerhalb der Redis-Konfigurationsdatei konfiguriert. Ob Sie einen Befehl deaktivieren oder umbenennen sollten, hängt von Ihren spezifischen Bedürfnissen oder denen Ihrer Website ab. Wenn Sie wissen, dass Sie keinen dieser Befehle verwenden werden, dann können Sie ihn deaktivieren. Es ist auch möglich, einen Befehl vollständig zu beenden, indem man ihn in eine leere Zeichenkette umbenennt.
Folgende Redis-Befehle sind sicherheitskritisch und sollten daher durch Hinzufügen der Zeilen in die Redis-Konfigurationsdatei deaktiviert bzw. umbenannt werden.
# disable CONFIG command
rename-command CONFIG ""
# rename FLUSHDB command
rename-command FLUSHDB "_F"
rename-command FLUSHALL ""
rename-command SHUTDOWN ""
rename-command BGREWRITEAOF ""
rename-command BGSAVE ""
rename-command SAVE ""
rename-command SPOP ""
rename-command SREM ""
rename-command RENAME ""
rename-command DEBUG ""
rename-command SCRIPT ""
