Skip to main content
德胜云
  万速智能9 > 服务器知识

难以置信「GaussDB(for Redis)安全性相关设置体验【华为云至简致远】」redis高危险命令redis安全加固

2024-04-19 00:00:15 浏览:

难以置信「GaussDB(for Redis)安全性相关设置体验【华为云至简致远】」redis高危险命令redis安全加固

【摘要】 GaussDB(for Redis)安全性功能体验

1.GaussDB数据库介绍

高斯,德语:Gauß;  ,英语:Gauss。高斯的生平是1777年—1855。大概是中国清朝乾隆四十二年到咸丰五年。他和阿基米德、艾萨克·牛顿并称世界公认的三大著名数学家。高斯被认为是历史上最重要的数学家之一,并享有“数学王子”之称,是微分几何学的始祖(高斯、雅诺斯、罗巴切夫斯基)之一。

2019年5月15日,华为用大数学家高斯的名字正式面向全球推出了GaussDB数据库。我们在开源的选择中已经有了mysql等数据库,那华为推出的GaussDB又解决了哪些mysql类数据库没有解决的问题呢。我们通过华为自己的定位可以看到,华为将GaussDB定位于AI-Native数据库而非Cloud-Native数据库,这不仅是一种升维,更是源于GaussDB实现的两大革命性突破:其一,AI in DB,首次将AI技术引入了GaussDB全系列产品内核中,实现自运维、自管理、自调优、故障自诊断和自愈,调优性能比业界提升60%以上。其二,DB for AI,GaussDB数据库适配AI的运行。用户可以通过数据库语言来方便地使用AI,降低AI使用门槛,实现普惠AI。

经过几年的市场检验,在2022年6月的国产化数据库排行榜上,高斯开源的oepnGauss和GaussDB双双进入前五。

下面我们通过试用GaussDB(for Redis),来看一下在安全性方面,GaussDB(for Redis)有哪些配置和安全性如何。

2.GaussDB(for Redis)的安全性设置

2.1 密码安全设置

有人可能会说新建一个数据库,密码设置这不是常规操作,有什么值得说的。要知道GaussDB(for Redis)是对标redis的,由于redis本身并没有强制必须的密码配置和密码负责度的配置,很多线上环境的redis完全就是裸奔,有IP和端口就可以进行连接,Redis因配置不当可以未授权访问。攻击者无需认证访问到内部数据,可导致敏感信息泄露,也可以恶意执行flushall来清空所有数据。攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件。如果Redis以root身份运行,可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。所以使用GaussDB(for Redis)解决了redis本身自带的安全性问题,也提高了系统的安全性。

2.2内网安全组进行隔离

在创建GaussDB(for Redis)的安全配置主要就是选择内网安全组。内网安全组的配置其实就是一个小型ACL(访问控制列表)控制哪些IP和端口可以进行访问。

在安全组的描述说明中,华为云也很贴心的把常用的端口和威胁端口列了出来。

常用端口:

协议端口说明FTP21FTP服务上传和下载文件。SSH22远程连接Linux弹性云服务器。Telnet23使用Telnet协议访问网站。SMTP25SMTP服务器所开放的端口,用于发送邮件。基于安全考虑,TCP 25端口出方向默认被封禁,申请解封请参考TCP 25端口出方向无法访问时怎么办?。HTTP80使用HTTP协议访问网站。POP3110使用POP3协议接受邮件。IMAP143使用IMAP协议接受邮件。HTTPS443使用HTTPS协议访问网站。SQL Server1433SQL Server的TCP端口,用于供SQL Server对外提供服务。SQL Server1434SQL Server的TCP端口,用于返回SQLServer使用了哪个TCP/IP端口。Oracle1521Oracle通信端口,弹性云服务器上部署了Oracle SQL需要放行的端口。MySQL3306MySQL数据库对外提供服务的端口。Windows Server Remote Desktop Services3389Windows远程桌面服务端口,通过这个端口可以连接Windows弹性云服务器。代理80808080端口常用于WWW代理服务,实现网页浏览,实现网页浏览。如果您使用8080端口,访问网站或使用代理服务器时,需要在IP地址后面加上:8080。安装Apache Tomcat服务后,默认服务端口为8080。NetBIOS137、138、139NetBIOS协议常被用于Windows文件、打印机共享和Samba。137、138:UDP端口,通过网上邻居传输文件时使用的端口。139:通过这个端口进入的连接试图获得NetBIOS/SMB服务。协议端口说明FTP21FTP服务上传和下载文件。SSH22远程连接Linux弹性云服务器。Telnet23使用Telnet协议访问网站。SMTP25SMTP服务器所开放的端口,用于发送邮件。基于安全考虑,TCP 25端口出方向默认被封禁,申请解封请参考TCP 25端口出方向无法访问时怎么办?。HTTP80使用HTTP协议访问网站。POP3110使用POP3协议接受邮件。IMAP143使用IMAP协议接受邮件。HTTPS443使用HTTPS协议访问网站。SQL Server1433SQL Server的TCP端口,用于供SQL Server对外提供服务。SQL Server1434SQL Server的TCP端口,用于返回SQLServer使用了哪个TCP/IP端口。Oracle1521Oracle通信端口,弹性云服务器上部署了Oracle SQL需要放行的端口。MySQL3306MySQL数据库对外提供服务的端口。Windows Server Remote Desktop Services3389Windows远程桌面服务端口,通过这个端口可以连接Windows弹性云服务器。代理80808080端口常用于WWW代理服务,实现网页浏览,实现网页浏览。如果您使用8080端口,访问网站或使用代理服务器时,需要在IP地址后面加上:8080。安装Apache Tomcat服务后,默认服务端口为8080。NetBIOS137、138、139NetBIOS协议常被用于Windows文件、打印机共享和Samba。137、138:UDP端口,通过网上邻居传输文件时使用的端口。139:通过这个端口进入的连接试图获得NetBIOS/SMB服务。协议端口说明FTP21FTP服务上传和下载文件。SSH22远程连接Linux弹性云服务器。Telnet23使用Telnet协议访问网站。SMTP25SMTP服务器所开放的端口,用于发送邮件。基于安全考虑,TCP 25端口出方向默认被封禁,申请解封请参考TCP 25端口出方向无法访问时怎么办?。HTTP80使用HTTP协议访问网站。POP3110使用POP3协议接受邮件。IMAP143使用IMAP协议接受邮件。HTTPS443使用HTTPS协议访问网站。SQL Server1433SQL Server的TCP端口,用于供SQL Server对外提供服务。SQL Server1434SQL Server的TCP端口,用于返回SQLServer使用了哪个TCP/IP端口。Oracle1521Oracle通信端口,弹性云服务器上部署了Oracle SQL需要放行的端口。MySQL3306MySQL数据库对外提供服务的端口。Windows Server Remote Desktop Services3389Windows远程桌面服务端口,通过这个端口可以连接Windows弹性云服务器。代理80808080端口常用于WWW代理服务,实现网页浏览,实现网页浏览。如果您使用8080端口,访问网站或使用代理服务器时,需要在IP地址后面加上:8080。安装Apache Tomcat服务后,默认服务端口为8080。NetBIOS137、138、139NetBIOS协议常被用于Windows文件、打印机共享和Samba。137、138:UDP端口,通过网上邻居传输文件时使用的端口。139:通过这个端口进入的连接试图获得NetBIOS/SMB服务。

常见威胁端口:

协议端口TCP42、135、137、138、139、444、445、593、1025、1068、1433、1434、3127、3128、3129、3130、4444、4789、5554、5800、5900、8998、9996UDP135~139、1026、1027、1028、1068、1433、1434、4789、5554、9996

2.3 数据备份

数据备份其实是一个重要的功能,不要认为只有黑客入侵才是安全事件。数据安全同样是安全事件,因为滴滴问题去年数据安全大火了一把,因为磁盘、人为、环境等造成的数据丢失都需要数据的备份和恢复功能。

这边还可以根据用户自己的需求去设置备份策略。不知道是不是试用版的原因,我这边备份最大只能备份35天。因为按照等保2.0数据备份的要求,重要的数据至少需要备份6个月。

2.4 限制高危命令

从下图可以看到,我输入了redis常用的keys命令,居然是执行失败。因为GaussDB(for Redis)对redis原生命令进行了过滤,对一些高危命令进行了限制。详细的命令规范可以参考命令兼容列表_云数据库 GaussDB NoSQL _GaussDB(for Redis)_用户指南_开发规范与命令兼容_华为云 (huaweicloud.com)

3.小结

总得来说GaussDB(for Redis)相对传统开源redis的提升巨大,做了很多安全性的设置。开箱即用,使用GaussDB(for Redis)无疑会大大提升数据安全和系统安全。也期待GaussDB有更多安全性的提升。【华为云至简致远】有奖征文火热进行中:https://bbs.huaweicloud.com/blogs/352809

想了解更多华为云产品相关信息,请联系我们:

​电话:950808按0转1

难以置信「GaussDB(for Redis)安全性相关设置体验【华为云至简致远】」redis高危险命令redis安全加固

  • 墙裂推荐「网站ip地址查询的方法」网站的ip地址怎么查网站i
  • 这样也行?「【公司深度】尚航科技(836366.OC):雷军
  • 干货满满「我的服务器托管历史」服务器托管怎么样服务器托管是什
  • 全程干货「网站建设的关键步骤有哪些?怎么进行网站建设?」网站
  • 不看后悔「直播电商源码中的CDN,到底是什么?」cdn是指c

    • 上一篇:不要告诉别人「以“服务器标准”规制盗链行为的实务困境和理论出路」服务器规范服务器相关的法律法规有哪些

    下一篇: 越早知道越好「EOS的BM:为什么区块链是更好的应用服务器/数据库架构?」eos币百度百科eos是什么数字货币简称

    文章来源:

    https://www.zhizy9.com/fwq/78800.html
    相关文章

    墙裂推荐「网站ip地址查询的方法」网站的ip地址怎么查网站ip地址怎么查看

    这样也行?「【公司深度】尚航科技(836366.OC):雷军系优质IDC,5G时代IDC有望长期景气」军航尚宏尚航科技上市

    干货满满「我的服务器托管历史」服务器托管怎么样服务器托管是什么

    全程干货「网站建设的关键步骤有哪些?怎么进行网站建设?」网站建设的基本步骤网站建设的6个基本步骤

    不看后悔「直播电商源码中的CDN,到底是什么?」cdn是指cdn是啥意思

    满满干货「成都极云科技成都最好的服务器托管服务商」成都极云天下科技有限公司电话极云天下怎么样