redis 보안

redis 보안

서버 실행

일반 사용자가 실행할 것

root 실행 금지

서버 실행 환경 설정 파일 접근 권한

chmod og-rw 환경설정파일

그룹 및 다른 사용자 읽기, 쓰기 금지

snapshot 기능을 쓰는 경우(자료를 디스크에 저장하는 경우)

서버 실행 전 해당 OS 계정 umask 값이 0066 으로 그룹 및 다른 사용자가 rdb 파일 읽기, 쓰기 금지할 것

umask 0066 && redis-server redis.conf

외부 접속을 허락 하는 경우

bind 0.0.0.0

설정을 한 경우는 반드시

requirepass 설정을 할 것, 기본값 사용 금지 - plain text 로 conf 파일을 OS 다른 사용자가 사용할 수 없도록 파일 접근 권한 조정 필수

protected-mode no 설정 금지

redis는 자체 클라이언트 접근 제어 기능이 없음으로 반드시 아주 보수적인 OS 방화벽 정책이 필요하다.

unix domain socket을 사용하는 경우

unixsocket /tmp/redis.6379.sock

설정을 하는 경우

unixsocketperm 설정에 신경 써야 한다.

서버가 실행되는 호스트를 여러 OS 계정이 함께 사용한다면,

unixsocketperm 값을 700 으로 사용해서 redis 서버를 실행한 OS 계정만 사용할 수 있도록 하거나,

다른 사용자도 해당 소켓을 사용해야한다면, 707 로 설정하되 반드시 requirepass 값을 지정해야 한다.

redis-cli 사용시

-a 옵션을 이용한 비밀번호 지정 실행 가급적 금지  - ps 명령으로 비밀번호가 보인다.

~/.rediscli_history 파일 접근 권한 0600 인지 꼭 확인해야 함