这是一个创建于 1022 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 rekulas 2023-03-08 13:23:48 +08:00 如果机器只有自己在用一般不需要 |
 | 2 julyclyde 2023-03-08 15:23:43 +08:00 这么干的人估计不少,但应该都不敢提出这种建议 |
 | 3 huluhulu 2023-03-08 15:29:02 +08:00  5 这样的话,无疑把 redis 的安全交给了系统中的其他最短的那个短板。只要那个短板被攻破了,redis 就被攻破了。 |
 | 4 xiaocaiji111 2023-03-08 15:42:35 +08:00 没有公网 ip 可以这么搞 |
 | 5 ciki 2023-03-08 15:43:19 +08:00 不开放到公网就没事 |
 | 6 ijrou 2023-03-08 15:44:52 +08:00 via Android 难道你还想将它设置监听为 0.0.0.0 ? |
 | 7 zjj19950716 2023-03-08 16:02:47 +08:00 直接连 socket 性能还高 |
 | 8 dobelee 2023-03-08 16:07:18 +08:00 能保证内网安全就无需鉴权,毕竟你的服务配置也有明文密码。 |
 | 9 gant 2023-03-08 16:35:11 +08:00 确实,我就本机没设置密码,但我不敢建议别人不用密码 |
 | 10 Nicklove 2023-03-08 16:39:23 +08:00 只监听 127.0.0.1 代表只有本机能够访问。但是希望实际的操作也是如此。比如说去年 docker 曾出现一个安全隐患 https://blog.csdn.net/alex_yangchuansheng/article/details/125465862 ,https://news.ycombinator.com/item?id=31839936 |
 | 11 ETiV 2023-03-08 16:43:05 +08:00 via iPhone 直接访问 local 的端口是一点权限验证都没有的,你本机的任意用户都能访问,所以把 dockerd 监听在 TCP 上是极度不推荐的 可以考虑监听到 sock 路径上,可以配置一下 user group 什么的 |
 | 12 dolorain 2023-03-08 16:45:40 +08:00 没什么好怕的,老子就这样。 |
 | 13 i979491586 2023-03-08 16:48:34 +08:00 看了楼上的回答,希望你们都不要进国家新成立的数据安全局,害怕 |
 | 14 shakaraka PRO 我不会建议你这样做。但是我是这样做的 |
 | 15 LWFF 2023-03-08 16:55:16 +08:00 楼上怕什么,我们的数据早就已经被泄露无数遍了 |
 | 16 exiaoxing 2023-03-08 17:04:49 +08:00 出现 ssrf 的话风险挺大的 |
 | 17 JKeita 2023-03-08 17:19:25 +08:00 设置个密码也没多大的事吧,万一真出问题谁担责呢。 |
 | 18 Les1ie 2023-03-08 18:20:46 +08:00 2 即使只监听 127.0.0.1, 我仍然建议给 redis 设置强密码。 如果机器上面有其他服务存在漏洞,比如网站有 ssrf 漏洞,那么攻击者可能通过 ssrf 攻击 redis ,进而获取系统权限。 网上有很多关于这个攻击路径的分析,比如 https://www.freebuf.com/articles/web/263556.html |
 | 19 ghostheaven 2023-03-08 19:16:30 +08:00 这得本机的所有进程都是安全的才行 |
 | 20 zhoudaiyu PRO 用 unix domain socket 更好一些吧 |
 | 21 tairan2006 2023-03-08 20:11:16 +08:00 你指的自己机器还是服务器?服务器的话建议别监听 127.0.0.1 ,后面别的服务要共享还要重启…自己电脑随意 |
 | 22 kenvix 2023-03-08 20:18:55 +08:00 你最好确认其他系统没有什么漏洞先。。。 |
 | 23 kdwnil 2023-03-08 20:34:04 +08:00 via Android 可能很多人都这么做,但大伙都不敢这样建议。。。 |
 | 24 AS4694lAS4808 2023-03-08 20:52:02 +08:00 via Android 告诉我公网 IP[狗头] |
 | 25 yazinnnn 2023-03-08 21:14:54 +08:00 via Android 那如果换成监听 domain socket 会安全些吗 |
 | 26 leaflxh 2023-03-08 21:22:20 +08:00 单独一台机器上部署并定期更换强密码,然后被系统漏洞攻下来( |
 | 27 Ericcccccccc 2023-03-08 21:52:52 +08:00 @i979491586 可以搜 10 亿公安数据泄露. 负责这些东西的人, 大概率和数据安全局是一批人. |
 | 28 MossFox 2023-03-08 22:42:30 +08:00 类似于 nps ( https://github.com/ehang-io/nps ) 的程序如果被恶意利用,是可以远程以本地网络身份去进行未授权访问的。 ……不过我没什么具体经验,就稍微提一下。 |
 | 29 Kumo31 2023-03-08 23:17:14 +08:00 不建议无条件信任内网或本地的访问,之前遇到过的例子是,很多在线简历网站都是基于 HTML 排版的,在下载 PDF 时会在服务器中开一个无头浏览器进行渲染,大部分都可以直接往简历里丢个 <iframe> ,等它渲染时就能以服务器身份访问,得到一些内网信息了,批量扫了一堆这种 SSRF 漏洞 |
 | 30 dcsuibian 2023-03-08 23:21:42 +08:00 设个密码那么费劲儿么 我自己开发机也不设密码,但生产环境的话,肯定会弄啊 |
 | 31 dnsaq 2023-03-09 07:32:05 +08:00 via iPhone 有个东西叫安全基线,设不设置都一样用。但这些看起来多余的操作实际抬高了安全基线,肯定是有好处的。某些 0day 利用骚姿势可比你想象的还要多,别高估了自己的智商。 |
| 32 dnsaq 2023-03-09 07:33:45 +08:00 via iPhone 一句话 对安全保持敬畏 ,能做的就不要嫌麻烦。 |
 | 33 onice 2023-03-09 09:13:18 +08:00 redis 只监听 127.0.0.1 ,,如果没密码,如果攻击者通过 web 层拿到 webshell ,,就可以通过本地直连 redis 重写 ssh 密钥控制服务器。 |
 | 34 nothingistrue 2023-03-09 09:36:40 +08:00 个人开发环境,你随便搞。但生产环境上,redis 一般都不在本机,而监听范围只能在 127.0.0.1 和 0.0.0.0 之间二选一。 |
 | 35 junmoxiao 2023-03-09 10:01:35 +08:00 如果 redis 是高权限,可以用来提权 |
 | 36 busier 2023-03-09 16:49:04 +08:00 只是不能网络直连而已!中木马或得到 Shell 一样可以连进来!自己拿捏! |
 | 37 kanepan19 2023-03-09 20:14:25 +08:00 零信任 谢谢 |
Select Language