【MySQL加固建议】:*
-
密码强化,使用复杂密码设置,防止被破解。
-
不推荐使用默认的端口3306, 换一个其他不常用的端口,避免通过端口进行攻击;
-
不推荐开启远程访问, my.cnf 配置文件中添加 bind-address =127.0.0.1, 仅配置本地访问。
-
如果有远程访问的需求,建议收敛账户的主机Host配置,允许特定安全网段访问数据库。
-
使用云主机的安全组功能,限制访问来源和端口。
-
定期修改账户密码,使用12位以上大小写字母、数字、特殊字符。
【Redis加固建议】*
-
禁止Redis服务对公网开放,可通过修改redis.conf配置文件中的"#bind 127.0.0.1" ,去掉前面的"#"即可(Redis本来就是作为内存数据库,只要监听在本机即可);
-
设置密码访问认证,可通过修改redis.conf配置文件中的"requirepass" 设置复杂密码 (需要重启Redis服务才能生效);
-
对访问源IP进行访问控制,可在防火墙限定指定源ip才可以连接Redis服务器;
-
修改Redis默认端口,将默认的6379端口修改为其他端口;
-
禁用config指令避免恶意操作,在Redis配置文件redis.conf中配置rename-command项"RENAME_CONFIG",这样即使存在未授权访问,也能够给攻击者使用config 指令加大难度;
-
以低权限运行 Redis 服务。即Redis使用普通用户权限,禁止使用 root 权限启动Redis 服务,这样可以保证在存在漏洞的情况下攻击者也只能获取到普通用户权限,无法获取root权限;
-
禁止一些高危命令
修改 redis.conf 文件,添加
rename-command FLUSHALL "" rename-command CONFIG "" rename-command EVAL ""来禁用远程修改 DB 文件地址
