redis 只监听 127.0.0.1 应该就没必要设置密码了吧
source link: https://www.v2ex.com/t/922220
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
 |
rekulas 11 小时 51 分钟前 如果机器只有自己在用一般不需要
|
 |
julyclyde 9 小时 52 分钟前 这么干的人估计不少,但应该都不敢提出这种建议
|
 |
huluhulu 9 小时 46 分钟前 这样的话,无疑把 redis 的安全交给了系统中的其他最短的那个短板。只要那个短板被攻破了,redis 就被攻破了。
|
3 |
xiaocaiji111 9 小时 33 分钟前 没有公网 ip 可以这么搞
|
 |
ciki 9 小时 32 分钟前 不开放到公网就没事
|
 |
ijrou 9 小时 30 分钟前 via Android 难道你还想将它设置监听为 0.0.0.0 ?
|
 |
zjj19950716 9 小时 13 分钟前 直接连 socket 性能还高
|
 |
dobelee 9 小时 8 分钟前 能保证内网安全就无需鉴权,毕竟你的服务配置也有明文密码。
|
 |
gant 8 小时 40 分钟前 确实,我就本机没设置密码,但我不敢建议别人不用密码
|
 |
ETiV 8 小时 32 分钟前 via iPhone 直接访问 local 的端口是一点权限验证都没有的,你本机的任意用户都能访问,所以把 dockerd 监听在 TCP 上是极度不推荐的
可以考虑监听到 sock 路径上,可以配置一下 user group 什么的 |
 |
dolorain 8 小时 30 分钟前 没什么好怕的,老子就这样。
|
 |
i979491586 8 小时 27 分钟前 看了楼上的回答,希望你们都不要进国家新成立的数据安全局,害怕
|
 |
wunonglin 8 小时 21 分钟前 我不会建议你这样做。但是我是这样做的
|
 |
LWFF 8 小时 20 分钟前 楼上怕什么,我们的数据早就已经被泄露无数遍了
|
 |
exiaoxing 8 小时 10 分钟前 出现 ssrf 的话风险挺大的
|
 |
JKeita 7 小时 56 分钟前 设置个密码也没多大的事吧,万一真出问题谁担责呢。
|
 |
Les1ie 6 小时 55 分钟前 即使只监听 127.0.0.1, 我仍然建议给 redis 设置强密码。
如果机器上面有其他服务存在漏洞,比如网站有 ssrf 漏洞,那么攻击者可能通过 ssrf 攻击 redis ,进而获取系统权限。 网上有很多关于这个攻击路径的分析,比如 https://www.freebuf.com/articles/web/263556.html |
 |
ghostheaven 5 小时 59 分钟前 这得本机的所有进程都是安全的才行
|
 |
zhoudaiyu 5 小时 53 分钟前 用 unix domain socket 更好一些吧
|
 |
tairan2006 5 小时 4 分钟前 你指的自己机器还是服务器?服务器的话建议别监听 127.0.0.1 ,后面别的服务要共享还要重启…自己电脑随意
|
 |
kenvix 4 小时 56 分钟前 你最好确认其他系统没有什么漏洞先。。。
|
 |
kdwnil 4 小时 41 分钟前 via Android 可能很多人都这么做,但大伙都不敢这样建议。。。
|
 |
AS4694lAS4808 4 小时 23 分钟前 via Android 告诉我公网 IP[狗头]
|
 |
yazinnnn 4 小时 0 分钟前 via Android 那如果换成监听 domain socket 会安全些吗
|
 |
leaflxh 3 小时 53 分钟前 单独一台机器上部署并定期更换强密码,然后被系统漏洞攻下来(
|
 |
Ericcccccccc 3 小时 22 分钟前 @i979491586 可以搜 10 亿公安数据泄露. 负责这些东西的人, 大概率和数据安全局是一批人.
|
 |
MossFox 2 小时 33 分钟前 类似于 nps ( https://github.com/ehang-io/nps ) 的程序如果被恶意利用,是可以远程以本地网络身份去进行未授权访问的。
……不过我没什么具体经验,就稍微提一下。 |
 |
Kumo31 1 小时 58 分钟前 不建议无条件信任内网或本地的访问,之前遇到过的例子是,很多在线简历网站都是基于 HTML 排版的,在下载 PDF 时会在服务器中开一个无头浏览器进行渲染,大部分都可以直接往简历里丢个 <iframe> ,等它渲染时就能以服务器身份访问,得到一些内网信息了,批量扫了一堆这种 SSRF 漏洞
|
 |
dcsuibian 1 小时 54 分钟前 设个密码那么费劲儿么
我自己开发机也不设密码,但生产环境的话,肯定会弄啊 |
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK