等保2.0測評：Redis-數(shù)據(jù)庫配置

等保2.0測評：Redis數(shù)據(jù)庫配置Redis數(shù)據(jù)庫是一個緩存數(shù)據(jù)庫，這里僅針對于等保的測評要求，對其進(jìn)行分析如何配置相應(yīng)的策略。前期調(diào)研針對于等保前期系統(tǒng)情況方面，這里我們要了解的是數(shù)據(jù)庫的版本。查看數(shù)據(jù)庫版本：運(yùn)維人員一般都會配置redis命令的環(huán)境變量，如果下面命令不行就用find找吧，一些基礎(chǔ)知識這里就不說了。1）服務(wù)器本地查看redis-server-vredis-server--version2）登錄到數(shù)據(jù)庫內(nèi)查詢登錄數(shù)據(jù)庫：redis-cli-h127.0.0.1-p6379

-h后面跟ip，-p跟端口一般是本地登錄，直接redis-cli即可登錄，當(dāng)然前提是沒有修改過Redis的服務(wù)端口。登錄到數(shù)據(jù)庫后，我們輸入：info一、身份鑒別a）應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換1.身份鑒別和標(biāo)識默認(rèn)情況下redis數(shù)據(jù)庫是無口令直接登錄的：直接輸入redis-cli即可登錄所以我們要查看redis配置文件，一般為redis.conf，在redis主目錄下查看requirepass參數(shù)是否不為注釋狀態(tài)：如果不是注釋狀態(tài)，如上圖，后面跟著的***y@123就是密碼，是明文存儲的。如果設(shè)置過口令，則會提示注意：這里沒有用戶的概念，只能加一個口令驗(yàn)證。2.身份鑒別信息具有復(fù)雜度并定期更改沒辦法滿足這個要求，無口令復(fù)雜度、最長使用期限設(shè)置功能。這里核查用戶當(dāng)前口令復(fù)雜度是否滿足要求。擴(kuò)展：Redis數(shù)據(jù)庫開啟口令驗(yàn)證1）通過配置文件進(jìn)行配置在redis.conf中找到requirepassfoobared參數(shù)取消requirepass前面的注釋，并將將foobared改成相應(yīng)密碼，然后重啟數(shù)據(jù)庫即可再嘗試登錄，此時可以連接，但無法執(zhí)行一些相關(guān)命令需要使用authpassword命令進(jìn)行登錄或者使用redis-cli-h127.0.0.1-p6379-a"mypass"進(jìn)行登錄（不建議使用）因?yàn)檫@樣明文密碼會留存到history里面，不安全。2）通過命令行配置（臨時）configsetrequirepass***y@1234configgetrequirepass然后嘗試配置文件中配置的老密碼登錄redis，會發(fā)現(xiàn)原來的不可用，被拒絕但是再重啟redis后，將會引用配置文件中的口令b）應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施1.登錄失敗處理功能沒有這個功能，詢問管理人員是否有第三方措施。默認(rèn)不符合。2.操作超時自動退出功能查看redis配置文件，一般為redis.conf，在redis主目錄下查看timeout的值，默認(rèn)為0永不退出這里設(shè)置的就是，120秒退出后要求重新進(jìn)行身份鑒別。超過這個時間它就要求重新進(jìn)行身份鑒別了。c）當(dāng)進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽默認(rèn)情況下：抓包出來是明文傳輸?shù)倪@個要去詢問管理人員是否做了相關(guān)措施防止鑒別信息在傳輸過程中被竊聽。默認(rèn)不符合。d）應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)這個一般不會去做，我們只要現(xiàn)場核查它是否使用了雙因素認(rèn)證就行了。二、訪問控制由于Redis數(shù)據(jù)庫沒有用戶這個概念，通過單一的口令驗(yàn)證就可以登錄，擁有所有權(quán)限，所以針對訪問控制這個控制點(diǎn)，有些是判不適用，有些是判不符合的，這個我覺得可以根據(jù)機(jī)構(gòu)自己的要求來進(jìn)行判斷，畢竟目前沒有一個統(tǒng)一的標(biāo)準(zhǔn)。a）應(yīng)對登錄的用戶分配賬戶和權(quán)限無用戶概念，通過口令驗(yàn)證，擁有所有權(quán)限。b）應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令無默認(rèn)賬戶存在。不適用c）應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在無賬戶概念。d）應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離無法分權(quán)，做不到。e）應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則無授權(quán)主體。f）訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表級無用戶概念。g）應(yīng)對重要主體和客體設(shè)置安全標(biāo)記，并控制主體對有安全標(biāo)記信息資源的訪問做不到。三、安全審計(jì)a）應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計(jì)查看redis配置文件，一般為redis.conf，在redis主目錄下查看loglevel、logfile參數(shù)，我安裝的該版本默認(rèn)情況下：redis支持通過loglevel配置項(xiàng)設(shè)置日志等級，共分四級，即debug、verbose、notice、warning。redis也支持通過logfile配置項(xiàng)來設(shè)置日志文件的生成位置。如果設(shè)置為空字符串，則redis會將日志輸出到標(biāo)準(zhǔn)輸出，日志將會發(fā)送給/dev/null。這里我們配置一下，將日志輸出到如下文件中。重啟后，日志就會寫入到這個文件中所以這里我們要確定兩個參數(shù)：loglevel、logfile。且logfile必須要配置，因?yàn)椴慌渲镁筒粫舸鎸?yīng)的日志了。b）審計(jì)記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息默認(rèn)符合，日志時間跟隨系統(tǒng)時間。比如我剛重啟了數(shù)據(jù)庫，就會產(chǎn)生對應(yīng)日志。c）應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等存儲在操作系統(tǒng)上的日志文件權(quán)限，不得超過644，默認(rèn)不刪應(yīng)該永久保存。定期備份問題，詢問管理人員是否有做即可。d）應(yīng)對審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷默認(rèn)符合。無法中斷日志文件輸出，但是可以修改日志記錄等級。四、入侵防范以下條款為：不適用a）應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序b）應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口d）應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求f）應(yīng)能夠檢測到對重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時提供報(bào)警涉及到的：c）應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制找到redis的配置文件，一般為redis.conf，可以先找NETWORK，下面會有個bind注釋情況下為任意IP訪問，可設(shè)置指定IP，以空格分割。這里只要看bind后面跟的ip地址即可。e）應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補(bǔ)漏洞這條就結(jié)合漏掃、測試等方法進(jìn)行判斷，redis這玩意可是出了名的漏洞多。。像非授權(quán)訪問漏洞，本地也測試過能成功，這里就不細(xì)說了，交給滲透工程師去看吧，然后我們等保的拿他們的報(bào)告確認(rèn)是否存在對應(yīng)漏洞即可。五、數(shù)據(jù)完整性針對這個數(shù)據(jù)庫，下面兩條默認(rèn)都是不符合。詢問管理人員是否做了相關(guān)措施來保證數(shù)據(jù)的完整性。a）應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等b）應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等六、數(shù)據(jù)保密性這個保密性同理，針對這個數(shù)據(jù)庫，下面兩條默認(rèn)都是不符合。詢問管理人員是否做了相關(guān)措施來保證數(shù)據(jù)的保密性。a）應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等b）應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等七、數(shù)據(jù)備份恢復(fù)a)