1. 미들웨어이야기/06. redis

redis 보안

ioseph 2018. 10. 29. 14:57

redis 보안

서버 실행

일반 사용자가 실행할 것
root 실행 금지

서버 실행 환경 설정 파일 접근 권한

chmod og-rw 환경설정파일
그룹 및 다른 사용자 읽기, 쓰기 금지

snapshot 기능을 쓰는 경우(자료를 디스크에 저장하는 경우)

서버 실행 전 해당 OS 계정 umask 값이 0066 으로 그룹 및 다른 사용자가 rdb 파일 읽기, 쓰기 금지할 것
umask 0066 && redis-server redis.conf

외부 접속을 허락 하는 경우

bind 0.0.0.0
설정을 한 경우는 반드시
requirepass 설정을 할 것, 기본값 사용 금지 - plain text 로 conf 파일을 OS 다른 사용자가 사용할 수 없도록 파일 접근 권한 조정 필수
protected-mode no 설정 금지

redis는 자체 클라이언트 접근 제어 기능이 없음으로 반드시 아주 보수적인 OS 방화벽 정책이 필요하다.

unix domain socket을 사용하는 경우

unixsocket /tmp/redis.6379.sock
설정을 하는 경우

unixsocketperm 설정에 신경 써야 한다.
서버가 실행되는 호스트를 여러 OS 계정이 함께 사용한다면,
unixsocketperm 값을 700 으로 사용해서 redis 서버를 실행한 OS 계정만 사용할 수 있도록 하거나,
다른 사용자도 해당 소켓을 사용해야한다면, 707 로 설정하되 반드시 requirepass 값을 지정해야 한다.

redis-cli 사용시

-a 옵션을 이용한 비밀번호 지정 실행 가급적 금지  - ps 명령으로 비밀번호가 보인다.
~/.rediscli_history 파일 접근 권한 0600 인지 꼭 확인해야 함




'1. 미들웨어이야기 > 06. redis' 카테고리의 다른 글

redis 대량 데이터 입력  (0) 2018.10.17
지리정보와 redis  (0) 2018.07.30
rdb 테이블을 redis로  (0) 2018.06.16