アリクラウド上のRedisサーバが侵入した経験を覚えておきます

アリクラウド上のRedisサーバが侵入した経験を覚えておきます

自分で作ったトレーナーのプロジェクトはアリクラウドに配置され、Redis-serverがインストールされており、ローカルでのデバッグを容易にするために/etc/redis/redis.confでquote bind 127.0.0.1以降です.requirepassは設定されていません.結果として、私のサーバーがオンラインになってから数日後、いくつかの退屈な人に6379ポートをスキャンされ、マイニングプログラム(minrd)を植え付けようとしたと同時に、私のredisデータベースのすべてのデータを空にしました.詳細は2つのブログを参照してください.忘れられないブログredisが黒くなっています.私のRedisはredisユーザーで実行されています.もちろんrootではありません.だからssh keyは修正されていません.ただ、私が勝手に入力したキー値のペアがいくつか失われました.ここでは、アリ雲のようなサーバーの子供靴を自分で遊ぶように注意し、便利さを図らず、パスワードを設定しないでください.ちなみにRedis公式コメントも

 # Warning: since Redis is pretty fast an outside user can try up to
 # 150k passwords per second against a good box. This means that you should
 # use a very strong password otherwise it will be very easy to break.

咳咳、公式はハッカーがRedisの高性能を利用して15万毎秒のパスワードを組み合わせて暴力的にパスワードを解読することができると考えているので、パスワードはできるだけ長く複雑です.最後に、プロジェクトでSpring Jedisとパスワード認証方式でRedisに接続したチップを添付します.

    try(Jedis jedis = jedisPool.getResource()){
        jedis.auth(password);
        //do your things 
        return true;
    }catch (Exception e){
        return false;
    }

皆さんに少しでも役に立つことを願っています.