一、身份鉴别
-
身份标识与鉴别
- Redis默认无口令即可登录,需通过配置文件(
redis.conf)设置requirepass参数启用密码认证。密码需满足复杂度要求(如长度、字符组合),但Redis自身不支持复杂度策略,需人工核查密码强度。 - 测评重点 :检查
requirepass是否配置,密码是否明文存储且定期更换(需第三方工具或管理措施)。
- Redis默认无口令即可登录,需通过配置文件(
-
登录失败处理与超时退出
- Redis无内置登录失败锁定功能,需依赖防火墙或第三方工具实现非法登录次数限制。
- 通过配置
timeout参数(单位:秒)设置连接超时自动退出,如默认值0表示不超时,建议调整为600秒。
-
远程管理传输加密
- 默认明文传输密码,存在窃听风险。需通过SSH隧道、SSL/TLS加密或VPN实现传输保护,否则判为不符合。
-
双因素认证
- Redis不支持双因素认证(如口令+生物识别),仅依赖单一密码,默认不符合等保要求。
二、访问控制
-
账户与权限管理
- Redis无用户概念,仅通过单一密码验证,登录后拥有所有权限。无法实现最小权限分配或权限分离,多数条款判为不符合或不适用。
- 测评例外:删除默认账户、定期清理账户等条款因无账户概念,可判为"不适用"。
-
访问控制策略
- 通过
bind参数限制访问IP范围(如bind 127.0.0.1仅允许本地连接),避免任意IP远程访问。
- 通过
三、安全审计
-
日志记录与保护
- 配置
loglevel(日志级别,建议设为notice或verbose)和logfile(日志文件路径)留存操作日志。 - 日志需包含时间、操作类型等关键信息,默认符合要求,但需确保日志文件权限≤644,并定期备份。
- 配置
-
审计进程保护
- Redis无法中断日志记录,但可通过修改
loglevel降低日志粒度,需限制配置文件的修改权限。
- Redis无法中断日志记录,但可通过修改
四、入侵防范
- 漏洞管理与加固
- Redis存在非授权访问、未修复漏洞等风险,需定期进行渗透测试和漏洞扫描(如利用
redis-cli --eval测试未授权访问)。 - 关闭非必要服务,通过防火墙限制高危端口(如默认6379)。
- Redis存在非授权访问、未修复漏洞等风险,需定期进行渗透测试和漏洞扫描(如利用
五、数据安全
- 数据完整性
- Redis默认不保证数据传输完整性,需通过SSL/TLS或应用层校验技术(如HMAC)实现。
- 持久化机制(RDB快照、AOF日志)需结合业务场景配置,避免数据丢失。
六、其他注意事项
- 第三方依赖:部分功能(如口令复杂度、双因素认证)需结合外部工具(如LDAP、堡垒机)实现。
- 行业标准 :等保2.0通用标准外,需参考行业细化要求(如金融、政务场景的特殊配置)。
