所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.0 安全管理指南 09

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
加固Redis数据库

加固Redis数据库

加固方案

在执行安全加固前,您需要了解加固方案,包括加固对象、加固场景、加固工具、加固内容及加固所需时间等。

Redis数据库加固方案如表17-3所示。

表17-3 Redis数据库加固方案

加固对象

加固场景

加固方式

加固内容

加固所需时间

加固生效方式

Redis

安装Redis数据库的过程中自动对数据库进行安全加固,同时需要安装完成后手动再进行另外一部分安全加固。

说明:

如果您需要对现网运行中的业务系统进行安全加固,请先和华为研发工程师确认好安全加固实施方案。

自动加固和手工加固。

详细加固项参考执行加固操作

加固过程:10min

说明:

加固时间会由于环境、网络以及加固项的变化而变化,请以现场实际环境加固时间为准。

设置防暴力破解加固需要重启数据库与禁用不使用的高危命令需要重启数据库。其余加固项加固完立即生效。

加固影响

无。

加固注意事项

安全使用Redis数据库,需要遵守如下约束。

  • 部署隔离,Redis数据库需要安装在独立的节点。
  • 现网环境,安装部署完毕必须修改数据库管理员用户密码。
  • 现网环境,尽量避免通过redis-cli连接数据库。
  • 使用redis-cli客户端连接数据库时,禁止在命令中直接输入密码,需要使用交互式方式输入密码。

加固中需要注意:

  • 如果加固中出现操作失败或异常,请联系华为技术工程师进行处理。
  • 文档中的路径<安装根目录>默认为/opt。

执行加固操作

修改默认的用户名和密码

重要操作。预置的用户名和密码必须修改,以降低系统被攻击的风险。

加固方法

参考《维护指南》密码修改指南将数据库的默认用户名密码修改掉。

预期结果

使用默认的用户名和密码无法登录Redis数据库。

清除冗余的Redis实例
  1. 检查是否有冗余Redis实例。

    说明:

    业务下线或者版本升级等场景下,可能存在冗余的Redis实例,可通过数据库监控指标来进行辅助检查。例如Redis实例的业务连接数为0,key个数为0

  2. 删除冗余的Redis实例。

    请与维护工程师确认此实例是否为冗余,若是冗余,请联系维护工程师操作。

    具体请参考《命令参考》dbsvc_adm -cmd delete-db-instance

禁用不使用的高危命令
操作步骤

以下操作为重要操作,请在维护工程师指导下完成。

  1. 参考暂停主备倒换功能,暂停主备倒换功能。
  2. 参考获取数据库信息,获取Redis数据库实例编号、服务IP地址、Redis数据库端口号。

    获取Redis数据库实例编号命令为:

    ./dbsvc_adm -cmd query-db-instance -type redis

  3. 分别在主备数据库节点上配置禁用命令。

    使用PuTTY,登录主备数据库节点(查询到的数据库服务IP地址)。

    默认帐号:paas,默认密码:QAZ2wsx@123!

    切换到root用户。

    su root

    切换到dbuser用户,进入redis目录。

    su dbuser

    cd /opt/redis/data/<需要加固的Redis数据库实例编号>/

    vim redis_commom.conf

    将如下内容添加到redis_commom.conf文件内。

    rename-command FLUSHALL ""
    rename-command FLUSHDB ""
    rename-command EVAL ""
    rename-command KEYS ""
    rename-command SHUTDOWN ""
    rename-command SAVE ""
    rename-command DEBUG ""

    按ESC键,输入:wq,敲回车键保存退出。

  4. 重启进行加固的数据库服务(建议先重启备数据库)。

    1. 使用PuTTY,登录要重启的数据库节点(查询到的数据库服务IP地址)。

      默认帐号:paas,默认密码:QAZ2wsx@123!

      设置环境变量。

      exit

      su - paas

      cd /opt/paas/oss/manager/apps/DeployAgent-<version>/container/redis/bin

    2. 停止redis数据库,以alunspadpterdb-1628-11为例:

      ./stop_redis.sh /opt/redis/data/alunspadpterdb-1628-11

    3. 启动redis数据库,以alunspadpterdb-1628-11为例:

      ./start_redis.sh /opt/redis/data/alunspadpterdb-1628-11

  5. 验证设置是否成功。

    1. 使用PuTTY,登录主备数据库节点(查询到的数据库服务IP地址)。

      默认帐号:paas,默认密码:QAZ2wsx@123!

      切换到root用户。

      su root

    2. 切换到dbuser用户,登录redis数据库,以alunspadpterdb-1628-11为例:

      su dbuser

      /opt/redis/bin/redis-cli -p redis数据库端口号 -a alunspadpterdb@dbuser@Redis数据库的dbuser用户密码 -cipherdir /opt/redis/etc/cipher/ -h redis数据库服务IP地址

    3. 执行如下命令,检查是否允许执行:

      FLUSHALL

      FLUSHDB

      eval "return {KEYS[1],KEYS[2],ARGV[1],ARGV[2]}" 2 key1 key2 first second

      KEYS *

      SHUTDOWN

      SAVE

      DEBUG object age

      如果不允许执行,说明设置成功。

  6. 参考恢复主备倒换功能,恢复主备倒换功能。
回退操作

以下操作为重要操作,请在维护工程师指导下完成。

  1. 参考5.6 暂停主备倒换功能,暂停主备倒换功能。
  2. 参考5.1 获取数据库信息,获取Redis数据库实例编号、服务IP地址、redis数据库端口号。

    获取Redis数据库实例编号命令为:

    ./dbsvc_adm -cmd query-db-instance -type redis

  3. 分别在主备数据库节点上删除禁用命令配置。

    分别以paas用户登录到主备数据库节点(查询到的数据库服务IP地址)上,切换到root用户。

    su root

    切换到dbuser用户,进入redis目录。

    su dbuser

    cd /opt/redis/data/<需要加固的Redis数据库实例编号>/

    vim redis_commom.conf

    在redis_commom.conf文件内删除如下配置。

    rename-command FLUSHALL "" 
    rename-command FLUSHDB "" 
    rename-command EVAL "" 
    rename-command KEYS "" 
    rename-command SHUTDOWN "" 
    rename-command SAVE "" 
    rename-command DEBUG ""

    按ESC键,输入:wq,敲回车键保存退出。

  4. 重启进行加固的数据库服务(建议先重启备数据库)。

    1. paas用户登录到要重启的数据库节点(查询到的数据库服务IP地址),设置环境变量。

      exit

      su - paas

      cd /opt/paas/oss/manager/apps/DeployAgent-<version>/container/redis/bin

    1. 停止redis数据库,以alunspadpterdb-1628-11为例:

      ./stop_redis.sh /opt/redis/data/alunspadpterdb-1628-11

    2. 启动redis数据库,以alunspadpterdb-1628-11为例:

      ./start_redis.sh /opt/redis/data/alunspadpterdb-1628-11

  5. 验证设置是否成功。

    1. 分别以paas用户登录到主备数据库节点上,切换到root用户。

      su root

    2. 切换到dbuser用户,登录redis数据库,以alunspadpterdb-1628-11为例:

      su dbuser

      /opt/redis/bin/redis-cli -p redis数据库端口号 -a alunspadpterdb@dbuser@Redis数据库的dbuser用户密码 -cipherdir /opt/redis/etc/cipher/ -h redis数据库服务IP地址

    3. 执行如下命令,检查是否允许执行:

      FLUSHALL

      FLUSHDB

      eval "return {KEYS[1],KEYS[2],ARGV[1],ARGV[2]}" 2 key1 key2 first second

      KEYS *

      SHUTDOWN

      SAVE

      DEBUG object age

      如果不允许执行,说明回退成功。

翻译
下载文档
更新时间:2019-01-25

文档编号:EDOC1100015665

浏览量:29733

下载量:797

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页