https://cloud.tencent.com/developer/article/2064127
redis一款高并发的内存K-V数据库,提供了好多命令,但是其中有部分对于生产环境来说比较危险,需要禁用掉。
keys 命令执行的时候是需要进行全库扫描的,因为redis执行的主线程是串行的,所以会导致其他命令也执行慢,从而拖垮整个redis实例。
flushdb、flushall是清空redis数据库里面数据的命令,禁用原因:
config命令可以直接修改redis加载到内存里面的配置信息,个人觉得主要是一些关键配置,比如:dir、dbfilename。这两个参数结合起来可以利用redis进行攻击,具体可以参考:https://www.freebuf.com/articles/328286.html 中webshell部分。
DEBUG 命令是一个内部命令。 它旨在用于开发和测试 Redis,比如下面命令,可以直接让redis停止工作10 s
debug sleep 10eval 命令用于执行lua脚本,建议禁止的原因是lua脚本里面信息redis没办法控制,比如,在lua脚本里面构造大量循环,会导致redis主进程僵死。
script、evalsha结合起来也可以执行lua脚本,原因同eval 命令
shutdown可以直接停止redis服务。属于危险命令的范畴。
在redis.conf 里面加入下面配置
rename-command keys ""
rename-command flushall ""
rename-command flushdb ""
rename-command debug ""
rename-command eval ""
rename-command config ""
rename-command shutdown ""
rename-command script ""
rename-command evalsha ""