Redis介绍
Remote Dictionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。
Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。它通常被称为数据结构服务器,因为值(value)可以是 字符串(String), 哈希(Hash), 列表(list), 集合(sets) 和有序集合(sorted sets)等类型。
Redis 是完全开源免费的,遵守BSD协议,是一个高性能的key-value数据库。
Redis 与其他 key - value 缓存产品有以下三个特点:
- Redis支持数据的持久化,可以将内存中的数据保存在磁盘中,重启的时候可以再次加载进行使用。
- Redis不仅仅支持简单的key-value类型的数据,同时还提供list,set,zset,hash等数据结构的存储。
- Redis支持数据的备份,即master-slave模式的数据备份。
安装
实验环境:
1.在官网下载Redis 压缩包并粘贴在虚拟机中,地址:http://redis.io/download
注:也可以使用远程管理工具,将压缩包拷贝到Linux服务器中
2.将桌面的压缩包移动到创建好的/home/redis目录下
3.执行解压操作,进入解压后的目录
4.对解压后的文件进行编译:make
编译完成之后,可以看到解压文件redis-5.0.6 中会有对应的src、conf等文件夹,这和windows下安装解压的文件一样,大部分安装包都会有对应的类文件、配置文件和一些命令文件。
5.编译成功后,进入src文件夹,进行Redis安装:make install
至此,安装成功!
6.查看目录
漏洞环境部署
- Redis由于配置不当,导致攻击者可以经过未授权访问内部数据,造成敏感信息的泄露,也可以执行恶意命令flushall来清空所有数据;还可以通过eval执行lua代码或数据备份功能,在磁盘写入后门文件。
- Redis以root身份运行时,可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。
修改配置文件,允许远程访问,默认端口是6379,没有密码,这时候会导致未授权访问
启动redis-server服务
至此,部署完成
