当前位置: 首页 > news >正文

redis漏洞修复:(CNVD-2019-21763)

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

  • 前言
  • 一、漏洞内容
  • 二、镜像准备
    • 1.确认镜像版本
    • 2.下载镜像
  • 三、配置文件准备
    • 1.获取配置文件
    • 2.修改配置文件
  • 四、启动redis容器
  • 五、修改iptables文件
  • 总结


前言

漏扫发现机器上基于容器运行的redis的访问权限没有限制,需要增加安全配置。
现在使用的7.0.4版本,正好一起升级版本。
由于redis使用的是容器形式运行,所以防火墙的相关配置是到DOCKER中,而不是在INPUT中。因为配置到INPUT中无法影响到容器运行的服务端口。


一、漏洞内容

Redis 未授权访问漏洞(CNVD-2019-21763)【原理扫描】在这里插入图片描述


二、镜像准备

1.确认镜像版本

目前latest中使用的redis版本是7.2.1
在这里插入图片描述

2.下载镜像

docker pull redis:latest

三、配置文件准备

1.获取配置文件

下载7.2.1版本的配置文件

wget http://download.redis.io/releases/redis-7.2.1.tar.gz
tar -xvf redis-7.2.1.tar.gz
cp redis-7.2.1/redis.conf /data/

2.修改配置文件

这里把bind修改为0.0.0.0,保护模式的开关也关闭上

bind 0.0.0.0 -::1
protected-mode no
port 6379

四、启动redis容器

启动redis容器,挂载数据目录和配置文件

docker run --name redis  -d -p 6379:6379  -v /data/redis-data:/data -v /date/redis.conf:/etc/redis/redis.conf  redis-server /etc/redis/redis.conf

五、修改iptables文件

查看已有的防火墙规则

Chain DOCKER (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            172.17.0.2           tcp dpt:6379

通过iptable防火墙进行规则控制
/etc/sysconfig/iptables

# 这一行是docker服务自动创建的规则,172.17.0.4是redis容器的IP
-A DOCKER -d 172.17.0.4/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 6379 -j ACCEPT

增加访问控制规则

# 增加XXX.XX.XX.XX容器访问的规则,已172.16.112.1、2为例
-A DOCKER -s XXX.XX.XX.XX -d 172.17.0.4/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 6379 -j ACCEPT
# 增加所有地址无法访问的规则
-A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 6379 -j DROP
# 系统原有规则
-A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 6379 -j ACCEPT

重启服务

systemctl restart iptables
iptables -L -n

增加后的防火墙规则

Chain DOCKER (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  172.16.112.1         172.17.0.2           tcp dpt:6379
ACCEPT     tcp  --  172.16.112.2         172.17.0.2           tcp dpt:6379
ACCEPT     tcp  --  172.16.254.10        172.17.0.2           tcp dpt:6379
DROP       tcp  --  0.0.0.0/0            172.17.0.2           tcp dpt:6379
ACCEPT     tcp  --  0.0.0.0/0            172.17.0.2           tcp dpt:6379

总结

增加安全控制比较简单,重要的是docker运行的redis的规则控制在DOCKER组中,而不是在INPUT中。

相关文章:

redis漏洞修复:(CNVD-2019-21763)

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一、漏洞内容二、镜像准备1.确认镜像版本2.下载镜像 三、配置文件准备1.获取配置文件2.修改配置文件 四、启动redis容器五、修改iptables文件总结 前言 漏扫发…...

手刻 Deep Learning -第壹章-PyTorch入门教学-基础概念与再探线性回归

一、前言 本章会需要 微分、线性回归与矩阵的基本观念 这次我们要来做 PyTorch 的简单教学,我们先从简单的计算与自动导数( auto grad / 微分 )开始,使用优化器与误差计算,然后使用 PyTorch 做线性回归,还有…...

深入学习 Redis - 如何使用 Redis 作缓存?缓存更新策略?使用需要注意哪些问题(工作/重点)

目录 一、Redis 作为缓存 1.1、缓存的基本概念 1.1.1、理解 1.1.2、缓存存什么样的数据?二八定律 1.2、如何使用 redis 作为缓存 1.3、缓存更新策略(redis 内存淘汰机制 / 重点) 1.3.1、定期生成 1.3.2、实时生成 内存淘汰策略&#…...

好用的软件测试框架有哪些?测试框架的作用是什么?

软件测试框架是现代软件开发过程中至关重要的工具,它可以帮助开发团队更加高效地进行测试和验证工作,从而大大提高软件质量和用户体验。 一、好用的软件测试框架 1. Selenium:作为一种开源的自动化测试框架,Selenium具有功能强大…...

PAT 1035 插入与归并

PAT 1035 插入与归并 题目描述思路讲解代码展示 题目描述 思路讲解 分析:先将i指向中间序列中满足从左到右是从小到大顺序的最后一个下标,再将j指向从i1开始,第一个不满足a[j] b[j]的下标,如果j顺利到达了下标n,说明…...

K-means 聚类算法学习笔记

K-means 聚类算法 是一种无监督学习算法,用来将 n n n 个样本点分成 k k k 类,使得整个数据集的误差平方和 S S E SSE SSE 最小。在本例中,样本点是指平面直角坐标系上的点,聚类中心也是平面直角坐标系上的点,而每个…...

API文档搜索引擎

导航小助手 一、认识搜索引擎 二、项目目标 三、模块划分 四、创建项目 五、关于分词 六、实现索引模块 6.1 实现 Parser类 6.2 实现 Index类 6.2.1 创建 Index类 6.2.2 创建DocInfo类 6.2.3 创建 Weight类 6.2.4 实现 getDocInfo 和 getInverted方法 6.2.5 实现 …...

文案内容千篇一律,软文推广如何加深用户印象

随着互联网技术的发展,企业营销的方式逐渐转向软文推广,但是现在软文推广的内容同质化越来越严重,企业应该如何让自己的软文推广保持差异性,在用户心中留下独特的印象呢?下面就让媒介盒子告诉你。 一、 找出产品独特卖…...

十二、流程控制-循环

流程控制-循环 1.while循环语句★2.do...while语句★3.for循环语句 —————————————————————————————————————————————————— 1.while循环语句★ while语句也称条件判断语句,它的循环方式是利用一个条件来控制是否…...

五、回溯(trackback)

文章目录 一、算法定义二、经典例题(一)排列1.[46.全排列](https://leetcode.cn/problems/permutations/description/)(1)思路(2)代码(3)复杂度分析 2.[LCR 083. 全排列](https://le…...

什么是分布式锁?他解决了什么样的问题?

相信对于朋友们来说,锁这个东西已经非常熟悉了,在说分布式锁之前,我们来聊聊单体应用时候的本地锁,这个锁很多小伙伴都会用 ✔本地锁 我们在开发单体应用的时候,为了保证多个线程并发访问公共资源的时候,…...

Ubuntu 12.04增加右键命令:在终端中打开增加打开文件

Ubuntu 12.04增加右键命令:在终端中打开 软件中心:搜索nautilus-open-terminal安装 用快捷键CtrlT打开命令行输入: sudo apt-get install nautilus-open-terminal 重新加载文件管理器 nautilus -q 或注销再登录即要使用...

Centos 7 访问局域网windows共享文件夹

Refer: centos7 访问windows系统的共享文件夹_centos访问windows共享_三希的博客-CSDN博客 一、在CentOS中配置CIFS网络存储服务 CIFS(Common Internet File System)是一种在网络上共享文件的协议,也称为SMB(Server Message Blo…...

GDB的TUI模式(文本界面)

2023年9月22日,周五晚上 今晚在看GDB的官方文档时,发现GDB居然有文本界面模式 TUI (Debugging with GDB) (sourceware.org) GDB开启TUI的条件 GDB的文本界面的开启条件是:操作系统有适当版本的curses库 The TUI mode is supported only on…...

深入了解Python和OpenCV:图像的卡通风格化

前言 当今数字时代,图像处理和美化已经变得非常普遍。从社交媒体到个人博客,人们都渴望分享独特且引人注目的图片。本文将介绍如何使用Python编程语言和OpenCV库创建令人印象深刻的卡通风格图像。卡通风格的图像具有艺术性和创意,它们可以用…...

【算法挨揍日记】day06——1004. 最大连续1的个数 III、1658. 将 x 减到 0 的最小操作数

1004. 最大连续1的个数 III 1004. 最大连续1的个数 III 题目描述: 给定一个二进制数组 nums 和一个整数 k,如果可以翻转最多 k 个 0 ,则返回 数组中连续 1 的最大个数 。 解题思路: 首先题目要我们求出的最多翻转k个0后&#x…...

华为云HECS安装docker

1、运行安装指令 yum install docker都选择y,直到安装成功 2、查看是否安装成功 运行版本查看指令,显示docker版本,证明安装成功 docker --version 或者 docker -v 3、启用并运行docker 3.1启用docker 指令 systemctl enable docker …...

力扣669 补9.16

最近大三上四天有早八,真的是受不了了啊,欧嗨呦,早上困如狗,然后,下午困如狗,然后晚上困如狗,尤其我最近在晚上7点到10点这个时间段看力扣,看得我昏昏欲睡,不自觉就睡了1…...

2023-9-22 没有上司的舞会

题目链接&#xff1a;没有上司的舞会 #include <cstring> #include <iostream> #include <algorithm>using namespace std;const int N 6010;int n; int happy[N]; int h[N], e[N], ne[N], idx; bool has_father[N];// 两个状态&#xff0c;选该节点或不选该…...

【HDFS】cachingStrategy的设置

org.apache.hadoop.hdfs.client.impl.BlockReaderFactory#getRemoteBlockReader: private BlockReader getRemoteBlockReader(Peer peer) throws IOException {int networkDistance = clientContext.getNetworkDistance(datanode);return BlockReaderRemote...

Stable Yogi 模型SolidWorks插件概念设计:AI生成皮革产品3D建模贴图

Stable Yogi 模型SolidWorks插件概念设计&#xff1a;AI生成皮革产品3D建模贴图 最近和几位做工业设计的朋友聊天&#xff0c;他们提到一个挺有意思的痛点&#xff1a;在SolidWorks里建好一个皮包或者皮靴的3D模型后&#xff0c;想看看不同材质、不同纹理的效果&#xff0c;比…...

HG-ha/MTools行业实践:短视频工作室AI配音+自动字幕+封面图生成闭环

HG-ha/MTools行业实践&#xff1a;短视频工作室AI配音自动字幕封面图生成闭环 你是不是也遇到过这样的场景&#xff1f;作为短视频工作室的创作者&#xff0c;每天都要面对海量的视频素材。一条1分钟的视频&#xff0c;从剪辑、配音、加字幕到制作封面&#xff0c;前前后后可能…...

LAV Filters:让Windows播放任何视频格式的5大优势与安装教程

LAV Filters&#xff1a;让Windows播放任何视频格式的5大优势与安装教程 【免费下载链接】LAVFilters LAV Filters - Open-Source DirectShow Media Splitter and Decoders 项目地址: https://gitcode.com/gh_mirrors/la/LAVFilters 你是否曾经遇到过在Windows电脑上无法…...

为什么你的局域网速度慢?可能是集线器和交换机的区别没搞懂

为什么你的局域网速度慢&#xff1f;可能是集线器和交换机的区别没搞懂 家里或办公室的网络总是不给力&#xff1f;明明升级了宽带套餐&#xff0c;下载文件时却还是像蜗牛爬行&#xff1f;问题可能出在你忽略的网络设备选择上。许多用户至今仍在用早已淘汰的集线器&#xff08…...

FigmaCN:消除语言壁垒的中文界面本地化解决方案

FigmaCN&#xff1a;消除语言壁垒的中文界面本地化解决方案 【免费下载链接】figmaCN 中文 Figma 插件&#xff0c;设计师人工翻译校验 项目地址: https://gitcode.com/gh_mirrors/fi/figmaCN FigmaCN是一款专为中文设计师打造的浏览器插件&#xff0c;通过3800条人工校…...

从模型评估、梯度难题到科学初始化:一步步解析深度学习的训练问题

偏差 & 方差要理解模型的泛化能力&#xff0c;我们首先要量化它的“泛化误差”&#xff0c;即模型在未知数据上的表现。然而&#xff0c;泛化误差并非一个单一的问题&#xff0c;它源于三种不同性质的错误&#xff1a;模型固有的近似能力不足、对训练数据的过度敏感、模型数…...

OpenClaw本地搜索引擎:GLM-4.7-Flash优化个人文件检索

OpenClaw本地搜索引擎&#xff1a;GLM-4.7-Flash优化个人文件检索 1. 为什么需要智能化的本地文件搜索 作为一个长期被文件管理困扰的技术写作者&#xff0c;我的MacBook里堆积着超过2万份文档——技术笔记、项目草稿、参考资料、会议记录杂乱地分布在各个角落。传统的文件名…...

别再只用Dice Loss了!结合Focal Loss解决钢材缺陷分割中的小目标难题(附PyTorch代码)

突破小目标分割瓶颈&#xff1a;Focal Loss与Dice Loss的黄金组合实践 在工业质检领域&#xff0c;钢材表面缺陷分割任务常面临两个核心挑战&#xff1a;毫米级点状缺陷的漏检与复杂纹理背景下的误报。传统Dice Loss虽能缓解类别不平衡问题&#xff0c;但当遇到像素占比不足0.1…...

OpenClaw+QwQ-32B客服模拟:电商问答自动化测试

OpenClawQwQ-32B客服模拟&#xff1a;电商问答自动化测试 1. 为什么需要自动化客服测试 去年双十一前&#xff0c;我们团队遇到了一个棘手问题&#xff1a;每次大促前&#xff0c;客服团队都要手动测试上百个产品页面的问答话术。人工测试不仅耗时耗力&#xff0c;还经常遗漏…...

C语言开发环境哪家强?VSCode优势多,配置步骤快来看

当前存在多种C语言开发环境&#xff0c;其中最为专业的当属CLion&#xff0c;它能够运用各类AI辅助编程插件&#xff0c;然而无法免费使用&#xff0c;并且体积过于庞大。免费的像DevCpp等&#xff0c;体积较小&#xff0c;配置简便&#xff0c;只是无法接入AI辅助编程插件。VS…...