小快云

后Redis服务器漏洞时代，这两条安全建议也许对在线存储用户有用 ... ... ...

发布时间：2022-07-30 15:00:03 作者：sunlijun1717 阅读量：3453

近日，Redis服务器被曝漏洞。黑客借助redis内置命令，可以对现有数据进行恶意清空。此外，黑客可往服务器上写入SSH公钥文件，直接登录服务器。由于针对此漏洞的修复方案需要修改配置文件，阿里云第一时间向用户发送了漏洞提醒和修复建议。事实上，除了手动修复，阿里云用户还有两项体验更佳的选择。

　　云盾服务器安全托管

　　该服务主要为云服务器提供定制化的安全防护策略、木马文件检测和高危漏洞检测与修复工作。

　　当发生安全事件时，阿里云安全团队可提供安全事件分析、响应，并进行系统防护策略的优化。

　　比如，此次Redis服务器漏洞事件发生后，只要授权，阿里云的安全工程师就会第一时间为用户完成修复。

　　键值存储KVStore

　　还是先从Redis服务器漏洞的原理说起。

　　攻击者利用用户在lin环境下自建无认证且公网可访问的redis服务，使用redis命令重置环境变量，在用户目录写入一个ssh私钥文件，从而建立一个信任关系，这样不需要输入ssh密码就可以登陆用户的服务器。

　　目前的修复方案是，用户通过禁用部份redis命令(flushall, flushdb,config set, eval)，增加认证，以低权限用户启动服务，禁止公网访问来加固，同时采用传统的定期多重备份的方式确保数据可恢复。

　　阿里云的键值存储KVSTORE天生禁用config set，脚本命令，不支持公网访问，出于安全考虑强制在访问服务必须要认证，从而避免此类漏洞的产生，从源头上防患于未然。

　　此外，即将推出的快照功能，定期多重备份数据，确保用户数据不会丢失。

　　KVStore优势

　　集群功能

　　可支持超大容量，超高性能。支持集群功能，提供128G及以上集群实例规格，可满足大容量和高性能需求。

　　提供64G及以下的主-从双节点实例，满足一般用户的容量和性能需求。

　　弹性扩容

　　存储容量一键扩容：用户可根据业务需求通过控制台对实例存储容量进行调整。

　　在线扩容不中断服务：调整实例存储容量可在线进行，无需停止服务，不影响用户自身业务。

　　资源隔离

　　针对实例级别的资源隔离，可以更好地保障单个用户服务的稳定性。

　　安全可靠

　　支持密码认证方式以确保访问安全可靠。

　　秒级别监控

　　提供秒级别实时监控，分钟级别历史监控。

　　提供各数据结构各接口的监控信息，访问情况一目了然，便于用户对KVStore的使用情况有充分的了解。

　　责任编辑：余芯

我要评论

网友评论

评论时间：2023-12-12 12:30:01

服务器购买费用：我们云主机到底是什么意思 预计2021年公司的服务器采购规模为60-80亿元，同比增长3我的世界服务器怎么创建 80亿元，同比增长30%以上

评论时间：2023-06-23 08:30:02

虚拟主机源码怎么上传 15.修复系如何建立局域网服务器 统漏洞