DevOps Wissensdatenbank
DevOps Wissensdatenbank

Redis-Installationen absichern: Essentielle Konfigurationstipps

Stellen Sie sicher, dass Ihre Hochleistungs-Redis-Installation vor unbefugtem Zugriff und Datenverlust geschützt ist. Dieser unverzichtbare Leitfaden bietet umsetzbare Schritt-für-Schritt-Konfigurationstipps, die sich auf Netzwerkisolation, Authentifizierung und bewährte Betriebspraktiken konzentrieren. Erfahren Sie, wie Sie den Zugriff mithilfe der `bind`-Direktive einschränken, einen starken Passwortschutz (`requirepass` oder ACLs) implementieren, gefährliche Befehle deaktivieren und Persistenzdateien sichern. Eine unverzichtbare Lektüre für die sichere Bereitstellung von Redis in jeder Produktionsumgebung.

32 Aufrufe

So sichern Sie Redis-Installationen: Wesentliche Konfigurationstipps

Redis ist ein leistungsstarker, hochperformanter In-Memory-Datenspeicher, der häufig zum Caching, für das Sitzungsmanagement und als Message Broker verwendet wird. Aufgrund seiner Geschwindigkeit und Einfachheit sind Standard-Redis-Konfigurationen oft für Entwicklungsumgebungen optimiert – wobei die Benutzerfreundlichkeit Vorrang vor strenger Sicherheit hat.

Das Aussetzen einer ungesicherten Redis-Instanz dem Internet oder sogar einem nicht segmentierten internen Netzwerk kann jedoch zu katastrophalen Datenschutzverletzungen, Datenverlust (durch FLUSHALL) oder sogar zur Remote Code Execution (durch Manipulation der Persistenzdateien) führen. Die Sicherung Ihrer Produktions-Redis-Bereitstellung ist nicht verhandelbar. Dieser Leitfaden beschreibt wesentliche, umsetzbare Konfigurationsschritte, um Ihren Redis-Server effektiv abzusichern.

1. Netzwerkkonfiguration: Begrenzung der Exposition

Die unmittelbarste und effektivste Sicherheitsmaßnahme ist die Steuerung, auf welchen Netzwerkschnittstellen Redis lauscht. Standardmäßig bindet sich Redis oft an alle verfügbaren Schnittstellen (0.0.0.0), wodurch es potenziell von überall zugänglich ist.

Bindung an spezifische Schnittstellen (bind)

Sie müssen Redis so konfigurieren, dass es nur auf notwendigen Schnittstellen lauscht. In den meisten Produktionsumgebungen bedeutet dies, dass nur an die Loopback-Adresse oder eine spezifische private IP-Adresse gebunden wird, die von Anwendungsservern verwendet wird.

Nur interner oder lokaler Zugriff

Wenn sich Ihr Anwendungsserver auf demselben Host wie Redis befindet, binden Sie ausschließlich an die Loopback-Adresse.

# redis.conf Konfigurationsausschnitt
bind 127.0.0.1

Vernetzter privater Zugriff

Wenn sich Ihre Anwendungsserver in einem privaten Netzwerksegment (z. B. einem Backend-Subnetz) befinden und Netzwerkzugriff benötigen, binden Sie an diese spezifische private IP-Adresse. Binden Sie niemals an öffentlich zugängliche IPs ohne robuste Firewall-Regeln.

# Listen Sie die spezifischen internen IP-Adressen auf, die auf Redis zugreifen sollen
bind 192.168.1.100 10.0.0.5

Verständnis des geschützten Modus

Seit Redis 3.2 ist der Protected Mode standardmäßig aktiviert. Dieser Modus blockiert Verbindungen von externen Clients, wenn der Server ohne Passwort (requirepass) läuft und an eine öffentliche Schnittstelle gebunden ist. Obwohl dies hilfreich ist, reicht es nicht aus, sich allein auf den Protected Mode zu verlassen; erzwingen Sie immer sowohl Bindungsbeschränkungen als auch die Authentifizierung.

Wenn Sie ihn für eine bestimmte Konfiguration deaktivieren müssen, können Sie Folgendes verwenden:

protected-mode no

⚠️ Warnung: Deaktivieren Sie protected-mode nur, wenn Sie bind und requirepass korrekt konfiguriert haben. Andernfalls ist Ihre Redis-Instanz völlig offen.

2. Authentifizierung und Zugriffskontrolle

Sobald der Netzwerkzugriff beschränkt ist, ist die nächste Verteidigungsschicht die Authentifizierung. Clients sollten nur dann mit Redis interagieren können, wenn sie ein gültiges Passwort angeben oder vorzugsweise das moderne Access Control List (ACL)-System verwenden.

Implementierung des Passwortschutzes (requirepass)

Verwenden Sie die Direktive requirepass in Ihrer redis.conf-Datei, um die Client-Authentifizierung zu erzwingen. Dies fungiert als globales gemeinsames Geheimnis für grundlegende Sicherheit.

# Legen Sie ein starkes, eindeutiges Passwort fest
requirepass T4h!S_Is_V3ry_S3cure_P@ss

Um sich mit einem Passwort zu verbinden, müssen Clients den Befehl AUTH verwenden:

# Beispiel mit redis-cli
$ redis-cli
127.0.0.1:6379> AUTH T4h!S_Is_V3ry_S3cure_P@ss
OK
127.0.0.1:6379> PING
PONG

Erweiterte Sicherheit: Redis Access Control Lists (ACLs)

Für Produktionsumgebungen, die Redis 6.0 und neuer verwenden, sind ACLs die bevorzugte Authentifizierungsmethode. ACLs ermöglichen es Ihnen, mehrere Benutzer mit spezifischen Passwörtern und granularen Berechtigungen zu definieren (z. B. Benutzer A darf nur lesen, Benutzer B darf in bestimmte Keyspaces schreiben).

Die ACL-Konfiguration beinhaltet typischerweise die Definition von Benutzern und deren Regeln in redis.conf oder einer separaten ACL-Datei:

# Beispiel für eine ACL-Benutzerdefinition (in redis.conf oder aclfile)
user default on # Standardbenutzer ist aktiviert
user app_reader on >app_read_P@ss ~cache:* +get +scan
user app_writer on >app_write_P@ss ~data:* +set +del

Umbenennen oder Deaktivieren gefährlicher Befehle

Bestimmte administrative Befehle (wie FLUSHALL, CONFIG, KEYS und SHUTDOWN) können bei Missbrauch zu Betriebsunterbrechungen führen oder sensible Konfigurationsdetails preisgeben. Es ist eine bewährte Vorgehensweise, diese Befehle entweder in obskure Namen umzubenennen oder sie ganz zu deaktivieren.

Um einen Befehl umzubenennen, verwenden Sie rename-command:

# CONFIG-Befehl umbenennen, um unbefugte Änderungen zu verhindern
rename-command CONFIG HIDE_MY_CONFIG

# FLUSHALL vollständig deaktivieren
rename-command FLUSHALL ""

3. Betriebliche Sicherheitspraktiken

Über die interne Redis-Konfiguration hinaus ist die Anwendung robuster externer betrieblicher Sicherheitsmaßnahmen für eine vollständige Sicherheitslage von entscheidender Bedeutung.

Erzwingen strenger Firewall-Regeln

Unabhängig von der Einstellung der bind-Direktive sollten Sie immer eine Netzwerkfilterung mithilfe von Cloud-Sicherheitsgruppen, iptables oder ähnlichen Firewall-Lösungen erzwingen. Der Standardport von Redis (6379) sollte nur für die spezifischen IP-Adressen oder IP-Bereiche Ihrer vertrauenswürdigen Anwendungsserver geöffnet sein.

Beispiel für eine Firewall-Regel (Linux/iptables)

Erlauben Sie eingehenden Verkehr auf Port 6379 nur von einer bekannten Anwendungsserver-IP (192.168.1.50):

# Standardmäßig allen eingehenden Verkehr auf Port 6379 ablehnen
iptables -A INPUT -p tcp --dport 6379 -j DROP

# Spezifischen Anwendungsserver erlauben
iptables -A INPUT -p tcp -s 192.168.1.50 --dport 6379 -j ACCEPT

Ausführung mit geringsten Rechten (Least Privilege)

Führen Sie den Redis-Serverprozess niemals als Root-Benutzer aus. Wenn ein Angreifer den Redis-Prozess kompromittiert, gewährt ihm die Ausführung als Root die volle Kontrolle über das gesamte Betriebssystem.

Erstellen Sie einen dedizierten, nicht privilegierten Systembenutzer (z. B. redis) und konfigurieren Sie das Betriebssystem sowie das Redis-Init-Skript so, dass der Server unter diesem Benutzer ausgeführt wird. Die Redis-Konfiguration kann dies mithilfe der Direktive user erzwingen (obwohl dies typischerweise durch Systemeinstellungen gehandhabt wird):

# Sicherstellen, dass der Redis-Prozess unter einem eingeschränkten Benutzer läuft (Systemkonfiguration bevorzugt)
user redis

Sichern von Konfigurationsdateien und Persistenz

Die Datei redis.conf enthält sensible Informationen wie das requirepass-Passwort und Netzwerkeinstellungen. Stellen Sie sicher, dass diese Datei zusammen mit den Persistenzdateien (RDB-Snapshots und AOF-Protokolle) durch restriktive Dateiberechtigungen geschützt ist, um unbefugtes Lesen oder Ändern durch andere Systembenutzer zu verhindern.

# Beispiel für empfohlene Berechtigungen
# Nur der 'redis'-Benutzer und root dürfen lesen/schreiben
chown redis:redis /etc/redis/redis.conf
chmod 600 /etc/redis/redis.conf

Implementierung von SSL/TLS-Verschlüsselung

Für Umgebungen, in denen der Redis-Verkehr über ein nicht vertrauenswürdiges Netzwerksegment (selbst intern) läuft, sollten Sie eine SSL/TLS-Verschlüsselung implementieren. Obwohl Redis historisch gesehen keine native TLS-Unterstützung hatte, unterstützen moderne Versionen (ab Redis 6) dies vollständig. Die Konfiguration von TLS erfordert die Erstellung von Zertifikaten und das Festlegen relevanter Direktiven in redis.conf:

# TLS aktivieren
tls-port 6379
tls-auth-clients yes
tls-cert-file /etc/redis/tls/redis.crt
tls-key-file /etc/redis/tls/redis.key

Zusammenfassung der wesentlichen Sicherheitsschritte

Die Sicherung einer Redis-Installation erfordert einen mehrschichtigen Ansatz. Durch die Anwendung dieser grundlegenden Schritte reduzieren Sie die Angriffsfläche erheblich und schützen Ihre wertvollen In-Memory-Daten:

  1. Netzwerkzugriff beschränken: Verwenden Sie bind 127.0.0.1 oder spezifische private IPs.
  2. Authentifizierung erzwingen: Verwenden Sie requirepass (grundlegend) oder ACLs (erweitert).
  3. Befehle härten: Deaktivieren oder benennen Sie gefährliche administrative Befehle um (FLUSHALL, CONFIG).
  4. Firewalls verwenden: Erlauben Sie den Verkehr auf Port 6379 nur von vertrauenswürdigen Anwendungsservern.
  5. Least Privilege: Führen Sie den Redis-Prozess als Nicht-Root-Benutzer aus.
  6. Verkehr verschlüsseln: Aktivieren Sie SSL/TLS für Netzwerkverbindungen, wo dies angebracht ist.