Redis یک فروشگاه ساختار داده منبع باز با حافظه داخلی است که به دلیل انعطاف پذیری ، عملکرد و پشتیبانی گسترده زبانی شناخته شده است.
Redis برای استفاده کلاینت های مورد اعتماد در یک محیط قابل اعتماد طراحی شده است و از نظر امنیتی ویژگی های قدرتمندی ندارد. با این حال ، Redis چند ویژگی امنیتی دارد که شامل یک پسورد رمزگذاری نشده و دستور تغییر نام و غیرفعال کردن است. این آموزش دستورالعمل هایی در مورد چگونگی پیکربندی این ویژگی های امنیتی را ارائه می دهد ، همچنین چند تنظیمات دیگر را نیز شامل می شود که می تواند باعث افزایش امنیت نصب مستقل Redis در CentOS 7 شود.
توجه داشته باشید که این راهنما به موقعیت هایی که سرور مجازی Redis و برنامه های کلاینت در هاست های مختلف یا در مراکز داده های مختلف هستند ، نمی پردازد. نصب هایی که ترافیک Redis مجبور است از یک شبکه ناایمن یا غیر قابل اعتماد عبور کند ، به مجموعه دیگری از تنظیمات ، مانند راه اندازی یک پروکسی SSL یا VPN بین دستگاه های Redis نیاز دارد.
پیش نیازها
برای تکمیل این راهنما ، به یک سرور مجازی Centos7 که با دنبال کردن راهنمای راه اندازی سرور مجازی اولیه ما تنظیم شده نیاز دارید.
یک فایروال نصب و پیکربندی شده، به روز و شامل مرحله Turning on the Firewall.
با انجام این پیش نیاز ها آماده نصب Redis و اجرای برخی کارهای پیکربندی اولیه خواهیم بود.
مرحله 1 – نصب Redis
قبل از نصب Redis ، ابتدا باید بسته های اضافی برای منبع Enterprise Linux (EPEL) را به لیست بسته های سرور مجازی اضافه کنیم. EPEL یک مخزن بسته است که شامل تعدادی بسته نرم افزاری اضافی منبع باز است که بیشتر آنها توسط پروژه Fedora نگهداری می شوند.
ما می توانیم EPEL را با استفاده از yum نصب کنیم:
- $ sudo yum install epel-release
پس از پایان نصب EPEL ، می توانید Redis را نصب کنید ، دوباره با استفاده از yum:
- $ sudo yum install redis -y
انجام این کار ممکن است چند دقیقه طول بکشد. پس از اتمام نصب ، سرویس Redis را شروع کنید:
- $ sudo systemctl start redis.service
اگر می خواهید Redis از بوت شروع شود ، می توانید آن را با دستور enable فعال کنید:
- $ sudo systemctl enable redis
با اجرای موارد زیر می توانید وضعیت Redis را بررسی کنید:
- $ sudo systemctl status redis.service
Output
- redis.service – Redis persistent key-value database
Loaded: loaded (/usr/lib/systemd/system/redis.service; disabled; vendor preset: disabled)
Drop-In: /etc/systemd/system/redis.service.d
└─limit.conf
Active: active (running) since Thu 2018-03-01 15:50:38 UTC; 7s ago
Main PID: 3962 (redis-server)
CGroup: /system.slice/redis.service
└─3962 /usr/bin/redis-server 127.0.0.1:6379
هنگامی که تأیید کردید Redis در حال اجرا است ، با این دستور ستاپ را امتحان کنید:
- $ redis-cli ping
این باید PONG را به عنوان پاسخ چاپ کند. اگر این گونه باشد ، به این معنی است که شما اکنون Redis را در سرور مجازی خود اجرا کرده و ما می توانیم پیکربندی آن را برای افزایش امنیت آن آغاز کنیم.
مرحله 2 – اتصال Redis و ایمن سازی آن با فایروال
یک روش موثر برای محافظت از Redis ، ایمن سازی سروری است که روی آن اجرا میشود. شما می توانید این کار را با اطمینان حاصل کردن از این که Redis فقط به localhost یا یک آدرس IP خصوصی متصل است و اینکه سرور مجازی دارای فایروال و به روز است این کار را انجام دهید.
با این حال ، اگر با استفاده از این آموزش خوشه Redis را راه اندازی کرده اید ، پس فایل پیکربندی را به روز کرده اید تا از هرجایی اتصال برقرار شود ، این امنیت به اندازه اتصال به localhost یا IP خصوصی نیست.
برای رفع این مشکل ، فایل پیکربندی Redis را برای ویرایش باز کنید:
- $ sudo vi /etc/redis.conf
ابتدا خطی که با BIND شروع میشود پیدا کنید و مطمئن شوید که خارج شده است:
/etc/redis.conf
bind 127.0.0.1
اگر لازم است Redis را به آدرس IP دیگری متصل کنید (مانند مواردی که از یک میزبان جداگانه به Redis دسترسی پیدا خواهید کرد) به شما توصیه می کنیم آن را به یک آدرس IP خصوصی متصل کنید. اتصال به یک آدرس IP عمومی ، قرار گرفتن در معرض رابط Redis شما را در برابر طرف های خارجی افزایش می دهد.
/etc/redis.conf
bind your_private_ip
اگر پیش نیازها را دنبال کرده و firewalld را بر روی سرور مجازی خود نصب کرده اید و قصد ندارید از میزبان دیگری به Redis متصل شوید ، دیگر نیازی به افزودن قوانین فایروال اضافی برای Redis ندارید. از این گذشته ، هرگونه ترافیک ورودی به طور پیش فرض کاهش می یابد مگر اینکه صریحاً توسط قوانین فایروال اجازه داده شود. از آنجا که نصب مستقل پیش فرض سرور مجازی Redis فقط به رابط loopback (127.0.0.1 یا localhost) گوش می کند ، دیگر نباید نگرانی برای ترافیک ورودی در پورت پیش فرض آن وجود داشته باشد.
اگر می خواهید از میزبان دیگری به Redis دسترسی پیدا کنید ، باید با استفاده از دستور firewall-cmd تغییراتی در پیکربندی firewalld خود ایجاد کنید. باز هم ، فقط باید با استفاده از آدرس IP خصوصی هاست ها ، به سرور مجازی Redis خود اجازه دسترسی دهید تا تعداد هاست هایی که سرویس شما در معرض آنهاست را محدود کنید.
برای شروع ، یک منطقه اختصاصی Redis را به رویکرد فایروال خود اضافه کنید:
- $ sudo firewall-cmd –permanent –new-zone=redis
سپس مشخص کنید کدام پورت را می خواهید باز کنید. Redis به طور پیش فرض از پورت6397 استفاده می کند:
- $ sudo firewall-cmd –permanent –zone=redis –add-port=6379/tcp
سپس ، آدرسهای IP خصوصی را که باید از طریق فایروال عبور کرده و به Redis دسترسی پیدا کنند ، مشخص کنید:
- $ sudo firewall-cmd –permanent –zone=redis –add-source=client_server_private_IP
پس از اجرای این دستورات ، فایروال را دانلود کنید تا قوانین جدید را اجرا کنید:
- $ sudo firewall-cmd –reload
تحت این پیکربندی ، هنگامی که فایروال بسته ای را از آدرس IP کلاینت شما مشاهده می کند ، قوانینی را در منطقه اختصاصی Redis برای آن اتصال اعمال می کند. سایر اتصالات توسط منطقه عمومی پیش فرض پردازش می شوند. سرویس های موجود در منطقه پیش فرض برای هر اتصال اعمال می شوند ، نه فقط برای سرویس هایی که به وضوح مطابقت ندارند ، بنابراین نیازی نیست که سرویس های دیگری (به عنوان مثال SSH) را به منطقه Redis اضافه کنید زیرا این قوانین به طور خودکار برای آن اتصال اعمال می شوند.
اگر تصمیم به ایجاد فایروال با استفاده از Iptables کرده اید ، لازم است مجوزهای ثانویه خود را به پورت Redis با دستورات زیر دسترسی دهید:
- $ sudo iptables -A INPUT -i lo -j ACCEPT
- $ sudo iptables -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT
- $ sudo iptables -A INPUT -p tcp -s client_servers_private_IP/32 –dport 6397 -m conntrack –ctstate NEW,ESTABLISHED -j ACCEPT
- $ sudo iptables -P INPUT DROP
اطمینان حاصل کنید که قوانین فایروال Iptables خود را با استفاده از مکانیزم ارائه شده توسط توزیع ذخیره کنید. با نگاهی به راهنمای ملزومات Iptables می توانید درباره Iptables بیشتر بیاموزید.
به خاطر داشته باشید که استفاده از هر دو ابزار فایروال کار می کند. نکته مهم این است که فایروال در حال کار است و به گونه ای انجام می شود که افراد ناشناس نتوانند به سرور مجازی شما دسترسی پیدا کنند. در مرحله بعدی ، Redis را پیکربندی می کنیم تا فقط با یک رمز عبور قوی قابل دسترسی باشد.
مرحله 3 – پیکربندی رمز عبور Redis
اگر Redis را با استفاده از آموزش نحوه پیکربندی خوشه Redis در CentOS 7 نصب کرده اید ، باید یک رمز عبور برای آن پیکربندی کرده باشید. بنا به صلاحدید خود ، می توانید با دنبال کردن این بخش یک رمز عبور ایمن تر ایجاد کنید. اگر هنوز رمز عبوری تنظیم نکرده اید ، دستورالعمل های موجود در این بخش نحوه تنظیم رمز سرور مجازی پایگاه داده را نشان می دهد.
پیکربندی رمز عبور Redis یکی از دو ویژگی امنیتی داخلی خود را ایجاد می کند – دستور auth ، که به تایید اعتبار کلاینت ها برای دسترسی به پایگاه داده نیاز دارد. رمز عبور مستقیماً در فایل پیکربندی Redis ، /etc/redis/redis.conf پیکربندی شده است ، بنابراین دوباره آن فایل را با ویرایشگر مورد نظر خود باز کنید:
$ sudo vi /etc/redis.conf
به بخش SECURITY بروید و به دنبال دستورالعملی باشید که وظیفه خواندن را دارد:
/etc/redis.conf
# requirepass foobared
با حذف # آن را لغو کنید و foobared را به یک رمزعبور امن تغییر دهید. به جای اینکه خودتان یک رمز عبور بسازید ، ممکن است از ابزاری مانند apg یا pwgen برای تولید آن استفاده کنید. اگر نمی خواهید یک برنامه فقط برای تولید گذرواژه نصب کنید ، می توانید از دستور زیر استفاده کنید.
توجه داشته باشید که وارد کردن این دستور به صورت نوشته شده هر بار رمز عبور یکسانی را ایجاد می کند. برای ایجاد رمز عبور متفاوت از رمز عبوری که با این کار ایجاد می شود ، کلمه را در صورت نقل قول به هر کلمه یا عبارت دیگری تغییر دهید.
· $ echo “digital-ocean” | sha256sum
اگرچه رمز ورود ایجاد شده قابل تلفظ نیست ، اما یک رمز بسیار قوی و طولانی است که دقیقاً همان نوع رمز مورد نیاز Redis است. پس از کپی و پیست کردن خروجی آن دستور به عنوان مقدار جدید برای Requirese ، به این صورت خواهد بود:
/etc/redis.conf
requirepass password_copied_from_output
اگر رمز عبور کوتاه تری را ترجیح می دهید ، به جای آن از خروجی دستور زیر استفاده کنید. دوباره ، کلمه را به صورت نقل قول تغییر دهید تا رمز عبور مشابه این رمز ایجاد نشود:
· $ echo “digital-ocean” | sha1sum·
پس از تنظیم پسورد فایل را ذخیره کنید و ببندید و Redis را ریستارت کنید:
- $ sudo systemctl restart redis.service
سپس برای بررسی کارکرد گذرواژه، به خط فرمان Redis دسترسی پیدا کنید:
- $ redis-cli
در زیر توالی دستورات مورد استفاده برای تست رمز Redis وجود دارد. دستور اول سعی می کند قبل از تأیید اعتبار ، کلید را روی یک مقدار تنظیم کند:
- 0.0.1:6379> set key1 10
این رمز کار نخواهد کرد زیرا شما تأیید اعتبار نکردید ، بنابراین Redis خطایی را برمی گرداند:
Output(error) NOAUTH Authentication required.
دستور بعدی با گذرواژه مشخص شده در فایل پیکربندی Redis تأیید اعتبار می کند:
- 0.0.1:6379> auth your_redis_password
Redis تایید می کند:
OutputOK
پس از آن ، اجرای دوباره فرمان قبلی موفق خواهد بود:
- 0.0.1:6379> set key1 10
Output
OK
دستور get key1 مقدار کلید جدید را از Redis جستجو میکند.
- 0.0.1:6379> get key1
Output
“10”
با دستور آخر یعنی redis-cli میتوانید خارج شوید:
- 0.0.1:6379> quit
اکنون دسترسی به نصب Redis برای کاربران غیرمجاز بسیار دشوار است. البته توجه داشته باشید که اگر از راه دور به Redis متصل شوید ، بدون SSL یا VPN پسورد رمزگذاری نشده برای اشخاص خارجی قابل مشاهده خواهد بود.
در مرحله بعدی ، برای محافظت بیشتر از Redis در برابر حملات مخرب ، به تغییر دستورات Redis خواهیم پرداخت.
مرحله 5 – تغییر نام دستورات خطرناک
ویژگی امنیتی دیگر که در Redis قرار داده شده ، تغییر نام یا غیرفعال کردن کامل فرامین خاصی است که خطرناک به نظر می رسند.هنگامی که این دستورات توسط کاربران غیرمجاز اجرا می شوند ، می توانند برای پیکربندی ، از بین بردن یا پاک کردن داده های شما استفاده شوند. برخی از دستوراتی که خطرناک به حساب می آیند عبارتند از
- FLUSHDB
- FLUSHALL
- KEYS
- PEXPIRE
- DEL
- CONFIG
- SHUTDOWN
- BGREWRITEAOF
- BGSAVE
- SAVE
- SPOP
- SREM RENAME DEBUG
این یک لیست جامع نیست ، اما تغییر نام یا غیرفعال کردن کلیه دستورات موجود در آن لیست ، نقطه شروع خوبی برای افزایش امنیت سرور مجازی Redis شما است.
این که آیا شما باید یک فرمان را غیرفعال کنید یا تغییر نام دهید ، به نیازهای خاص شما یا نیازهای سایت شما بستگی دارد. اگر می دانید هرگز از دستوری که مورد سوءاستفاده قرار می گیرد استفاده نمی کنید ، می توانید آن را غیرفعال کنید. در غیر این صورت ، نام آن مفید را تغییر دهید.
مانند رمز عبور احراز هویت ، تغییر نام یا غیرفعال کردن دستورات در قسمت SECURITY فایل /etc/redis.conf پیکربندی شده است. برای فعال یا غیرفعال کردن دستورات Redis ، یک بار دیگر فایل پیکربندی را برای ویرایش باز کنید:
· $ sudo vi /etc/redis.conf
هشدار: این ها چند نمونه مثال است. فقط باید غیرفعال کردن یا تغییر نام دستوراتی که منطقی میباشد را انتخاب کنید. می توانید لیست کامل دستورات را برای خود مرور کنید و نحوه استفاده آنها در redis.io/commands را تعیین کنید.
برای غیرفعال کردن یک دستور ، کافی است آن را به یک رشته خالی تغییر دهید ، همانطور که در زیر نشان داده شده:
/etc/redis.conf
# It is also possible to completely kill a command by renaming it into
# an empty string:
#
rename-command FLUSHDB “”
rename-command FLUSHALL “”
rename-command DEBUG “”
برای تغییرنام یک فرمان، نام دیگری مانند زیر به آن بدهید. حدس زدن فرمان های تغییر نام یافته باید برای دیگران دشوار باشد اما به راحتی بتوانید آن ها را به خاطر بسپارید.
/etc/redis.conf
rename-command CONFIG “”
rename-command SHUTDOWN SHUTDOWN_MENOT
rename-command CONFIG ASC12_CONFIG
تغییرات خود را ذخیره کرده و فایل را ببندید و سپس با راه اندازی مجدد Redis ، تغییر را اعمال کنید:
· $ sudo systemctl restart redis.service
برای آزمایش دستور جدید ، وارد خط فرمان Redis شوید:
- $ redis-cli
سپس ، تأیید اعتبار کنید:
- 0.0.1:6379> auth your_redis_password
Output
OK
فرض کنیم که شما دستور CONFIG را مانند مثال قبل به ASC12_CONFIGتغییر نام دادید . ابتدا سعی کنید از دستور اصلی CONFIG استفاده کنید. باید با شکست مواجه شود ، زیرا آن را تغییر نام داده اید:
- 0.0.1:6379> config get requirepass
Output
(error) ERR unknown command ‘config’
با این وجود فراخوانی فرمان تغییر نام داده شده موفقیت آمیز خواهد بود. به کوچک و بزرگ بودن کاراکترها حساس نیست:
- 0.0.1:6379> asc12_config get requirepass
Output
1) “requirepass”
2) “your_redis_password”
درنهایت ، می توانید از redis-cli خارج شوید:
- 0.0.1:6379> exit
توجه داشته باشید که اگر قبلاً از خط فرمان Redis استفاده کرده اید و دوباره Redis را ریستارت کرده اید ، باید مجددا تأیید اعتبار کنید. در غیر این صورت ، اگر یک دستور تایپ کنید ، این خطا را دریافت خواهید کرد:
OutputNOAUTH Authentication required.
به خاطر تغییر نام دستورات ، در پایان بخش SECURITY در /etc/redis/redis.conf یک عبارت هشدار وجود دارد:
/etc/redis.conf
. . . # Please note that changing the name of commands that are logged into the# AOF file or transmitted to slaves may cause problems. . . .
این بدان معناست که اگر دستور تغییر نام یافته در فایل AOF نباشد ، یا اگر موجود باشد اما فایل AOF به slaves ارسال نشده باشد ، دیگر مشکلی وجود نخواهد داشت.بنابراین ، هنگام تغییر نام دستورات ، این را به خاطر داشته باشید. بهترین زمان برای تغییر نام یک فرمان زمانی است که شما از ماندگاری AOF استفاده نمی کنید ، یا درست بعد از نصب ، یعنی قبل از استقرار برنامه مبتنی بر Redis.
هنگامی که از AOF استفاده می کنید و با یک نصب master slave سرو کار دارید ، این پاسخ را از صفحه صدور GitHub پروژه در نظر بگیرید.
بنابراین ، بهترین روش برای تغییر نام در مواردی از این دست ، این است که مطمئن شوید دستورات تغییر نام یافته به تمام مثال های نصب های master-slave اعمال میشود.
مرحله 5 – تنظیم مالکیت دایرکتوری داده و مجوزهای پرونده
در این مرحله ، ما تغییرات مالکیت و مجوزهایی را که می توانید برای بهبود نمایه امنیتی نصب Redis خود ایجاد کنید ، در نظر خواهیم گرفت. این شامل اطمینان از این است که فقط کاربری که باید به Redis دسترسی پیدا کند اجازه خواندن اطلاعات آن را دارد. این کاربر به طور پیش فرض ، کاربر redis است.
این را می توانید با grep-ing برای دیرکتوری داده Redis در لیست طولانی دیرکتوری اصلی خود تأیید کنید. دستور و خروجی آن در زیر آورده شده است.
- $ ls -l /var/lib | grep redis
Output
drwxr-xr-x 2 redis redis 4096 Aug 6 09:32 redis
می بینید که دایرکتوری داده Redis متعلق به کاربر redis است و دسترسی ثانویه به گروه redis اعطا می شود. این تنظیم مالکیت ایمن است ، اما مجوزهای پوشه (که روی 755 تنظیم شده است) اینگونه نیست. برای اطمینان از دسترسی انحصاری کاربر Redis به پوشه و محتویات آن ، تنظیمات مجوزها را به 770 تغییر دهید:
- $ sudo chmod 770 /var/lib/redis
مجوز دیگری که باید تغییر دهید ، فایل پیکربندی Redis است. به طور پیش فرض ، دارای مجوز فایل 644 است و توسط root متعلق به مالکیت ثانویه توسط گروه root است:
- $ ls -l /etc/redis.conf
Output
-rw-r–r– 1 root root 30176 Jan 14 2014 /etc/redis.conf
این مجوز (644) به صورت سراسر جهانی قابل خواندن است. این یک مشکل امنیتی است زیرا فایل پیکربندی حاوی پسورد رمزگذاری نشده ای است که در مرحله 4 پیکربندی کرده اید ، به این معنی که ما باید مالکیت و مجوزهای فایل پیکربندی را تغییر دهیم. در حالت ایده آل ، این مالکیت باید توسط کاربر redis و با مالکیت ثانویه توسط گروه redis باشد. برای انجام این کار ، دستور زیر را اجرا کنید:
- $ sudo chown redis:redis /etc/redis.conf
سپس مجوزها را تغییر دهید تا فقط صاحب فایل بتواند آن را بخواند و یا بنویسد:
- $ sudo chmod 600 /etc/redis.conf
شما می توانید مالکیت و مجوزهای جدید را با استفاده از موارد زیر تأیید کنید:
- $ ls -l /etc/redis.conf
Output
total 40
-rw——- 1 redis redis 29716 Sep 22 18:32 /etc/redis.conf
در آخر ، Redis را دوباره راه اندازی کنید:
- $ sudo systemctl restart redis.service
تبریک ، نصب Redis شما اکنون ایمن تر شده است!
نتیجه
به خاطر داشته باشید که پس از ورود شخصی به سرور مجازی شما ، دور زدن ویژگی های امنیتی ویژه Redis که ما در آن قرار داده ایم بسیار آسان است. بنابراین ، مهمترین ویژگی امنیتی در سرور مجازی Redis ، فایروال شماست (که در صورت پیروی از آموزش مقدماتی راه اندازی اولیه سرور اولیه، آن را پیکربندی کرده اید) ، زیرا این کار پرش از آن حصار امنیتی را برای حمله گران بسیار دشوار می کند.
اگر سعی در برقراری ارتباطات Redis از طریق یک شبکه غیر معتبر دارید ، باید پروکسی SSL را به کار ببرید ، همانطور که توسط توسعه دهندگان Redis در راهنمای رسمی امنیتی Redis توصیه شده است
نحوه استفاده از Traefik به عنوان پروکسی معکوس برای کانتینرهای Docker در اوبونتو 20.04
نحوه نصب و ایمن سازی Redis در Centos7
چگونه می توان محیط JupyterLab را در اوبونتو 18.04 تنظیم کرد
نحوه نصب Webmin در Ubuntu 20.04
نحوه بازنویسی آدرس های اینترنتی با mod_rewrite برای Apache در اوبونتو 20.04
نحوه مدیریت چندین سرور با دستورات Ad Hoc Ansible
چگونه می توان REST API را با Prisma و PostgreSQL ساخت
نحوه میزبانی وب سایت با استفاده از Cloudflare و Nginx در اوبونتو 18.04
نحوه استفاده از Traefik به عنوان پروکسی معکوس برای کانتینرهای Docker در Ubuntu 18.04
خرید vps – خرید سرور مجازی – خرید سرور – سرور هلند – فروش vps – سرور مجازی آمریکا – خریدvps – سرور مجازی هلند – فروش سرور مجازی – سرور آمریکا – vps – سرور مجازی انگلیس – سرور مجازی آلمان – سرور مجازی کانادا – خرید vps آمریکا – خرید وی پی اس – سرور – خرید سرور مجازی هلند – vps خرید – سرور مجازی فرانسه – سرور مجازی هلند – خرید vps آمریکا – خرید سرور مجازی ارزان هلند – vps – خرید vps هلند – خرید سرور مجازی آمریکا – خرید vps فرانسه – تست vps – سرور مجازی تست – سرور مجازی ویندوز – ارزانترین vps – خرید وی پی اس – vps ارزان –
https://vpsgol.net/product/vps-germany/
https://vpsgol.net/product/vps-usa/
https://vpsgol.net/product/vps-france/
https://vpsgol.net/product/vps-canada/
https://vpsgol.net/product/vps-poland/
https://vpsgol.net/product/vps-netherlands/
https://vpsgol.net/product/vps-england/