Redis 配置不当致使 root 被提权漏洞

Author: Tinywan

README.md

@@ -14,7 +14,7 @@
 * [如何在工作中提高Ngixn服务器性能?达到高效](https://juejin.im/post/5adb45e96fb9a07ab773c767?utm_source=gold_browser_extension)   
 * 项目案例 （Project notes）  
   * [Nginx 同一个IP上配置多个HTTPS主机](https://github.com/Tinywan/lua-nginx-redis/blob/master/Nginx/more-domain-config.md)  
-  * [Nginx 如何配置一个安全的HTTPS网站服务器]  (http://www.cnblogs.com/tinywan/p/7542629.html)  
+  * [Nginx 如何配置一个安全的HTTPS网站服务器](http://www.cnblogs.com/tinywan/p/7542629.html)  
   * [Nginx 配置启用 HTTP/2](http://www.cnblogs.com/tinywan/p/7860774.html)  
 * 扩展模块 （Third-party module）  
   * [nginx-vod-module](http://www.cnblogs.com/tinywan/p/7879559.html)    
@@ -43,7 +43,7 @@
 * [ngx_lua 扩展模块学习](/Openresty/openresty-resty-module.md)   
 * [lua-resty-upstream-healthcheck使用](/Openresty/lua-resty-upstream-healthcheck.md)   
 * [Openresty与Nginx_RTMP](/Openresty/openresty-rtmp.md)   
-* [自己写的一个简单项目lua_project_v0.01]  (https://github.com/Tinywan/lua_project_v0.01)   
+* [自己写的一个简单项目lua_project_v0.01](https://github.com/Tinywan/lua_project_v0.01)   
 
 ####  PHP 相关   
 * [PHP脚本运行Redis](#PHP_Run_Redis)

Redis/redis-safety.md

@@ -1,212 +1,94 @@
-## Redis 简易安装教程
-#### 一、编译安装
-+ 下载、解压   	
-	
-    ```javascript
-    wget http://download.redis.io/releases/redis-3.2.8.tar.gz
-    tar -zxvf redis-3.2.8.tar.gz
-    cd  redis-3.2.8
-    ```
-+ make 编译
-    + 编译之前  
-    
-    ```lua
-    00-RELEASENOTES  BUGS  CONTRIBUTING  COPYING  deps  INSTALL  Makefile  MANIFESTO  README.md  redis.conf  runtest 
-     runtest-cluster  runtest-sentinel  sentinel.conf  src  tests  utils
-    ```  
-    + 编译完成之后，可以看到解压文件redis-3.0.7 中会有对应的src、conf等文件             
-    + 这和windows下安装解压的文件一样，大部分安装包都会有对应的类文件、配置文件和一些命令文件。
-+ 进入src文件夹，执行make install进行Redis安装
-
-    ```bash
-    tinywan@tinywan:~/redis-3.2.8/src$ sudo make install 
-    [sudo] tinywan 的密码： 
-    
-    Hint: It's a good idea to run 'make test' ;)
-    
-        INSTALL install
-        INSTALL install
-        INSTALL install
-        INSTALL install
-        INSTALL install
-    ```		
-#### 二、部署文件结构
-+ 首先为了方便管理，将Redis文件中的conf配置文件和常用命令移动到统一文件中			
-+ 创建以下文件目录
-
-    ```bash
-    ~/redis-3.2.8/src$ sudo mkdir -p /usr/local/redis/bin
-    ~/redis-3.2.8/src$ sudo mkdir -p /usr/local/redis/etc
-    ```
-+ 切换到`redis-3.2.8`目录,移动`redis.conf`配置文件：
-
-   ```javascript
-   ~/redis-3.2.8/src$ cd ..
-   ~/redis-3.2.8$ sudo mv /home/tinywan/redis-3.2.8/redis.conf /usr/local/redis/etc
-   ```
-+ 继续进入到`src`目录执行其他文件移动：
-
-   ```javascript
-   ~/redis-3.2.8$ cd src/
-   sudo mv mkreleasehdr.sh redis-benchmark redis-check-aof redis-check-rdb redis-cli  
-   redis-sentinel redis-server redis-trib.rb /usr/local/redis/bin
-   ```
-#### 三、配置和启动redis服务
-+   编辑`redis.conf`
-
-    ```
-    cd /usr/local/redis/etc
-    vi redis.conf
-    ```
-+   需要修改的参数  
-
-    ```lua
-    --后台运行
-    daemonize yes
-           
-    --端口号
-    port 63700          
-    
-    --和哪个网卡绑定，和客户端是什么网段没有关系，这里我绑定的是内网网卡,
-    bind 10.10.101.127   
-    
-    -- AES("https://github.com/Tinywan/Lua-Nginx-Redis/blob/master/Redis/redis-install.md") 加密
-    -- 结果：b6Pbc42gP8hXPNLzZaDnhREijtn1BSVSIYTkhTXw8SuPGpWZvN5kVpVeEVBdEQDw7M/+EZuDS6FxTOtgD2QrPe6014LPEdv2DY+YSUQZ4cE=
-    
-    requirepass b6Pbc42gP8hXPNLzZaDnhREijtn1BSVSIYTkhTXw8SuPGpWZvN5kVpVeEVBdEQDw7M/+EZuDS6FxTOtgD2QrPe6014LPEdv2DY+YSUQZ4cE=
-    
-    -- db文件名
-    dbfilename dump63700.rdb
-    
-    -- log 日志文件路径
-    logfile "/usr/local/redis/etc/redis_63700.log"
-    
-    -- 安全考虑，rename-command 配置以下命令
-    rename-command FLUSHALL "tinywangithubFLUSHALL"
-    
-    rename-command CONFIG "tinywangithubCONFIG"
-    
-    rename-command SHUTDOWN "tinywangithubSHUTDOWN"
-    
-    rename-command DEBUG "tinywangithubDEBUG"
-    ```
-+   启动redis服务，并指定启动服务配置文件，检测运行端口，为了安全，请不要使用root用户去启动	
-    ```java
-    $ sudo chown -R www:www  /usr/local/redis/    //赋予指定该用户组，而非root账号
-    $ /usr/local/redis/bin/redis-server /usr/local/redis/etc/redis63700.conf
-    $ ps -aux | grep redis
-    www      70764  0.6  0.1  38160      0:00 /usr/local/redis/bin/redis-server 127.0.0.1:63700
-    www   70768  0.0  0.0  15984      0:00 grep --color=auto redis
-    ```
-+   redis-cli启动、检测重置命令是否生效（结果：配置文件已经OK）
-    ```lua
-    $ redis-cli -h 127.0.0.1 -p 63700 -a b6Pbc42gP8hXPNLzZaDnhREijtn1BSVSIYTkhTXw8SuPGpWZvN5kVpVeEVBdEQDw7M/+EZuDS6FxTOtgD2QrPe6014LPEdv2DY+YSUQZ4cE= 
-      127.0.0.1:63700> set username tinywan
-      OK
-      127.0.0.1:63700> get username
-      "tinywan"
-      127.0.0.1:63700> SHUTDOWN
-      (error) ERR unknown command 'SHUTDOWN'
-      127.0.0.1:63700> FLUSHALL
-      (error) ERR unknown command 'FLUSHALL'
-      127.0.0.1:63700> tinywangithubFLUSHALL
-      OK
-      127.0.0.1:63700> get username
-      (nil)
-      127.0.0.1:63700>
-    ```
-+   远程链接出现的错误：
-    + 错误信息
-    
-    ```lua
-    DENIED Redis is running in protected mode because protected mode is enabled, 
-    no bind address was specified, no authentication password is requested to    clients.......  
-    ```
-    +   修改配置文件：`protected-mode yes` 修改为`protected-mode no `  
-+   查看远程Redis服务器的版本 `redis-cli -h 192.168.1.3 info | grep 'redis_version'`
-
-#### 四、Redis开机启动的方法
-+   [Linux中设置Redis开机启动的方法](http://www.jb51.net/article/110286.htm)
-+   环境：`Ubuntu 16.04.2 LTS`
-+   编辑脚本：`vim /etc/init.d/redis `
-
-    ```javascript
-    #!/bin/sh
-    #
-    # Simple Redis init.d script conceived to work on Linux systems
-    # as it does use of the /proc filesystem.
-    ### BEGIN INIT INFO
-    # Provides:   redis6379
-    # Required-Start: $local_fs $network
-    # Required-Stop:  $local_fs
-    # Default-Start:  2 3 4 5
-    # Default-Stop:  0 1 6
-    # Short-Description: redis6379
-    # Description:  penavico redis 6379
-    ### END INIT INFO
-    
-    REDISPORT=6379  # 【1】修改一
-    EXEC=/usr/local/bin/redis-server
-    CLIEXEC=/usr/local/bin/redis-cli
-    
-    PIDFILE=/var/run/redis_${REDISPORT}.pid
-    CONF="/usr/local/redis/etc/redis_6379.conf"  # 【2】修改二
-    
-    case "$1" in
-        start)
-            if [ -f $PIDFILE ]
-            then
-                    echo "$PIDFILE exists, process is already running or crashed"
-            else
-                    echo "Starting Redis server..."
-                    $EXEC $CONF
-            fi
-            ;;
-        stop)
-            if [ ! -f $PIDFILE ]
-            then
-                    echo "$PIDFILE does not exist, process is not running"
-            else
-                    PID=$(cat $PIDFILE)
-                    echo "Stopping ..."
-                    $CLIEXEC -p $REDISPORT shutdown
-                    while [ -x /proc/${PID} ]
-                    do
-                        echo "Waiting for Redis to shutdown ..."
-                        sleep 1
-                    done
-                    echo "Redis stopped"
-            fi
-            ;;
-        *)
-            echo "Please use start or stop as first argument"
-            ;;
-    esac    
-    ```
-+   注册事件，开机启动：`update-rc.d redis defaults`
-+   启动服务：`sudo systemctl start redis`
-+   停止服务：`sudo systemctl stop redis`
-+   查看服务是否启动：
-
-    ```javascript
-    www@Tinywan:~/redis-4.0.0/utils$ ps -aux | grep redis
-    root      1722  0.0  0.8  44752  8300 ?        Ssl  13:08   0:00 /usr/local/bin/redis-server 127.0.0.1:6379
-    www       1730  0.0  0.1  14224  1024 pts/0    S+   13:08   0:00 grep --color=auto redis
-    
-    ```
-
-#### 五、Redis数据迁移
-+   查找RDB文件：
-
-    ```sudo find / -name dump.rdb```
-+   进行远程拷贝备份文件：
-    
-    ```scp ./dump.rdb [email protected]:/home/www/redis/```
-+   数据迁移步骤如下
-    +   （1）关闭目标Redis服务；    
-    +   （2）将相应的RDB文件或者AOF文件复制过去；    
-    +   （3）设置REDIS的DIR或者开启AOF功能；   
-    +   （4）启动目标REDIS服务；
+## Redis 配置不当致使 root 被提权漏洞  
+
+#### 问题来源  
+
+阿里云报警，提示`Linux系统计划任务配置文件写入行为`，随后立即登录与主机返现redis服务被干掉了  
+
+####  原因分析  
+
+自己个人维护的一个项目在提交代码的时候把redis配置也提交到github了  
+
+####  漏洞描述  
+
+Redis 服务因配置不当，可被攻击者恶意利用。黑客借助 Redis 内置命令，可将现有数据恶意清空；如果 Redis 以 root 身份运行，黑客可往服务器上写入 SSH 公钥文件，直接登录服务器。  
+
+#### 受影响范围  
+
+对公网开放，且未启用认证的 Redis 服务器（没有设置密码的redis）  
+
+#### 修复方案  
+
+注意：以下操作，均需重启 Redis 后才能生效。  
+
+#####  绑定需要访问数据库的 IP  
+
+将 Redis.conf 中的 bind 127.0.0.1 修改为需要访问此数据库的 IP 地址。
+
+绑定只允许内网可以访问：`bind 172.19.230.35`  
+
+##### 设置访问密码   
+
+在 Redis.conf 中 requirepass 字段后，设置添加访问密码。 
+
+Redis官方建议，由于Redis速度很快，外部用户可以尝试使用对密码箱每秒150k密码。 这意味着你应该使用非常强大的密码，否则将很容易中断。  
+
+密码强度最好是64字符以上，可以使用base64获取其他方式生成改密码
+
+如：`requirepass WktjD1QB9xX2W/WktjD1QB9xX/oDZSnH8m283ern8YiFtY=v81xzLNU`
+
+#####  修改 Redis 服务运行账号  
+
+以较低权限账号运行 Redis 服务，且禁用该账号的登录权限。  
+
+* 当前redis运行账号为：`root`  
+* 新建较低权限账号`redis`用户：`sudo useradd -s /bin/bash -d /home/redis -m redis -g www -G www`  
+  > dsfds
+  > fsdfds
+
+* 修改用户组：`sudo usermod -g www redis`  
+* 设置账号密码：`passwd redis`  
+* 使用低权限账号` redis` 启动redis服务  
+```bash
+sudo -u redis ../bin/redis-server ./redis.conf  
+```
+* 查看redis启动用户信息  
+```bash
+ps -axu | grep redis
+redis     2495  0.0  0.4  38472  4624 ?        Ssl  May29   0:22 /redis-server *:63009
+redis     2510  0.0  0.3  36424  3528 ?        Ssl  May29   0:22 /redis-server 172.19.230.35:6379
+```
+> 启动两个服务，一个是通过公网可以访问，而另外一个是和内网绑定的  
+
+* 可能会遇到权限问题  
+  提示：`Failed opening the RDB file dump.rdb (in server root dir /home) for saving: Permission denied`，出现上面的问题原因适用于以前使用`root`账号启动服务，现在使用级别较低的`redis`启动服务，导致redis服务没办法加载db文件导致的 ，所以赋予该db文件为redis用户所属：`chown redis:www 63789-dump.rdb`  
+
+* redis 参数优化配置  
+  * 编辑 `vim /etc/sysctl.conf`文件，添加内容：`'vm.overcommit_memory = 1'`并且使用root执行`sysctl vm.overcommit_memory=1`是能够生效  
+  * 使用root执行命令：`echo never > /sys/kernel/mm/transparent_hugepage/enabled`  
+
+* 禁止`redis`运行账号登录 `passwd -l redis`，这就话的意思是锁定`redis`用户，这样该用户就不能登录了。  
+
+#####  参考建议  
+
+日志文件和数据库文件最好使用绝对路径  
+
+* 日志文件路径：`logfile "/home/redis/log/6379.log"`   
+* 数据库文件路径：`dir "/home/redis/data"`  
+
+#### 使用xshell连接阿里云服务器登陆时密码框为灰色，无法输入密码解决办法  
+
+* 使用阿里云`[远程连接]`   
+* 编辑文件：`vi/etc/ssh/sshd_config`  
+* 修改最后一项为yes：`PasswordAuthentication yes`  
+* 保存退出，重启`sshd`服务`systemctl restart sshd.service`然后重新登陆，此时，一切就OK啦  
+
+#### 参考文献  
+* [redis crackit入侵事件总结](https://blog.csdn.net/u012573259/article/details/51803447)  
+* [Redis 配置不当致使 root 被提权漏洞](https://help.aliyun.com/knowledge_detail/37433.html)  
+* [linux 新建用户、用户组 以及为新用户分配权限](https://www.cnblogs.com/mingforyou/archive/2012/06/19/2555045.html)  
+
+
+