Comment installer et sécuriser Redis sur CentOS 7

1. 1. 1. Introduction

Redis est un magasin de structure de données en mémoire open source qui excelle dans la mise en cache. Base de données non relationnelle, Redis est connue pour sa flexibilité, ses performances, son évolutivité et sa large prise en charge linguistique.

Redis a été conçu pour être utilisé par des clients de confiance dans un environnement de confiance et ne possède pas de fonctionnalités de sécurité robustes. Cependant, Redis dispose de quelques fonctionnalités de sécurité qui incluent un mot de passe de base non chiffré et le renommage et la désactivation de la commande. Ce didacticiel fournit des instructions sur la configuration de ces fonctionnalités de sécurité et couvre également quelques autres paramètres qui peuvent renforcer la sécurité d'une installation Redis autonome sur CentOS 7.

Notez que ce guide ne traite pas des situations où le serveur Redis et les applications clientes se trouvent sur des hôtes différents ou dans des centres de données différents. Les installations où le trafic Redis doit traverser un réseau non sécurisé ou non approuvé nécessiteront un ensemble différent de configurations, telles que la configuration d'un proxy SSL ou d'un VPN entre les machines Redis.

1. 1. Conditions préalables

Pour suivre ce tutoriel, vous aurez besoin de :

• Un droplet CentOS 7 configuré à l'aide de notre Configuration initiale du serveur pour CentOS 7.
• Pare-feud installé et configuré à l'aide de ce guide, jusqu'à et y compris l'étape "Activer le pare-feu".

Une fois ces conditions préalables en place, nous sommes prêts à installer Redis et à effectuer certaines tâches de configuration initiales.

1. 1. Étape 1 — Installation de Redis

Avant de pouvoir installer Redis, nous devons d'abord ajouter le référentiel Extra Packages for Enterprise Linux (EPEL) aux listes de packages du serveur. EPEL est un référentiel de packages contenant un certain nombre de packages logiciels complémentaires open source, dont la plupart sont gérés par le projet Fedora.

Nous pouvons installer EPEL en utilisant yum :

sudo yum install epel-release

Une fois l'installation d'EPEL terminée, vous pouvez installer Redis, à nouveau en utilisant yum :

sudo yum install redis -y

Cela peut prendre quelques minutes. Une fois l'installation terminée, démarrez le service Redis :

sudo systemctl start redis.service

Si vous souhaitez que Redis démarre au démarrage, vous pouvez l'activer avec la commande enable :

sudo systemctl enable redis

Vous pouvez vérifier l'état de Redis en exécutant ce qui suit :

sudo systemctl status redis.service

Output● redis.service - Redis persistent key-value database
   Loaded: loaded (/usr/lib/systemd/system/redis.service; disabled; vendor preset: disabled)
  Drop-In: /etc/systemd/system/redis.service.d
           └─limit.conf
   Active: active (running) since Thu 2018-03-01 15:50:38 UTC; 7s ago
 Main PID: 3962 (redis-server)
   CGroup: /system.slice/redis.service
           └─3962 /usr/bin/redis-server 127.0.0.1:6379

Une fois que vous avez confirmé que Redis est bien en cours d'exécution, testez la configuration avec cette commande :

redis-cli ping

Cela devrait imprimer PONG comme réponse. Si tel est le cas, cela signifie que vous avez maintenant Redis en cours d'exécution sur votre serveur et que nous pouvons commencer à le configurer pour améliorer sa sécurité.

Étape 2 - Lier Redis et le sécuriser avec un pare-feu

Un moyen efficace de protéger Redis consiste à sécuriser le serveur sur lequel il s'exécute. Vous pouvez le faire en vous assurant que Redis est lié uniquement à l'hôte local ou à une adresse IP privée et que le serveur dispose d'un pare-feu opérationnel.

Cependant, si vous avez choisi de configurer un cluster Redis à l'aide de ce tutoriel, vous aurez alors mis à jour le fichier de configuration pour autoriser les connexions depuis n'importe où, ce qui n'est pas aussi sécurisé que la liaison à localhost ou à une adresse IP privée.

Pour remédier à cela, ouvrez le fichier de configuration Redis pour le modifier :

sudo vi /etc/redis.conf

Localisez la ligne commençant par bind et assurez-vous qu'elle n'est pas commentée :

bind 127.0.0.1

Si vous avez besoin de lier Redis à une autre adresse IP (comme dans les cas où vous accéderez à Redis à partir d'un hôte distinct), nous fortement vous encourageons à le lier à une adresse IP privée. La liaison à une adresse IP publique augmente l'exposition de votre interface Redis aux tiers.

bind your_private_ip

Si vous avez suivi les prérequis et installé firewalld sur votre serveur et que vous ne prévoyez pas de vous connecter à Redis à partir d'un autre hôte, vous n'avez pas besoin d'ajouter de règles de pare-feu supplémentaires pour Redis. Après tout, tout trafic entrant sera supprimé par défaut, sauf autorisation explicite des règles de pare-feu. Étant donné qu'une installation autonome par défaut du serveur Redis écoute uniquement sur l'interface de bouclage (127.0.0.1 ou localhost), il ne devrait pas y avoir de souci pour le trafic entrant sur son port par défaut.

Si, toutefois, vous prévoyez d'accéder à Redis depuis un autre hôte, vous devrez apporter quelques modifications à la configuration de votre pare-feu à l'aide de la commande firewall-cmd. Encore une fois, vous ne devez autoriser l'accès à votre serveur Redis qu'à partir de vos hôtes en utilisant leurs adresses IP privées afin de limiter le nombre d'hôtes auxquels votre service est exposé.

Pour commencer, ajoutez une zone Redis dédiée à votre politique de pare-feu :

sudo firewall-cmd --permanent --new-zone=redis

Ensuite, spécifiez le port que vous souhaitez ouvrir. Redis utilise le port 6379 par défaut :

sudo firewall-cmd --permanent --zone=redis --add-port=6379/tcp

Ensuite, spécifiez toutes les adresses IP privées qui doivent être autorisées à traverser le pare-feu et à accéder à Redis :

sudo firewall-cmd --permanent --zone=redis --add-source=client_server_private_IP

Après avoir exécuté ces commandes, rechargez le pare-feu pour mettre en œuvre les nouvelles règles :

sudo firewall-cmd --reload

Dans cette configuration, lorsque le pare-feu voit un paquet provenant de l'adresse IP de votre client, il applique les règles de la zone Redis dédiée à cette connexion. Toutes les autres connexions seront traitées par la zone public par défaut. Les services de la zone par défaut s'appliquent à toutes les connexions, pas seulement à celles qui ne correspondent pas explicitement, vous n'avez donc pas besoin d'ajouter d'autres services (par exemple SSH) à la zone Redis car ces règles seront automatiquement appliquées à cette connexion.

Si vous avez choisi de configurer un pare-feu à l'aide d'Iptables, vous devrez accorder à vos hôtes secondaires l'accès au port utilisé par Redis avec les commandes suivantes :

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp -s client_servers_private_IP/32 --dport 6379 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -P INPUT DROP

Assurez-vous de sauvegarder vos règles de pare-feu Iptables en utilisant le mécanisme fourni par votre distribution. Vous pouvez en savoir plus sur Iptables en consultant notre Guide des éléments essentiels d'Iptables.

Gardez à l'esprit que l'utilisation de l'un ou l'autre des outils de pare-feu fonctionnera. Ce qui est important, c'est que le pare-feu soit opérationnel afin que des inconnus ne puissent pas accéder à votre serveur. Dans l'étape suivante, nous configurerons Redis pour qu'il ne soit accessible qu'avec un mot de passe fort.

1. 1. Étape 3 - Configuration d'un mot de passe Redis

Si vous avez installé Redis à l'aide du didacticiel Comment configurer un cluster Redis sur CentOS 7, vous devez avoir configuré un mot de passe pour celui-ci. À votre discrétion, vous pouvez créer un mot de passe plus sûr maintenant en suivant cette section. Si vous n'avez pas encore défini de mot de passe, les instructions de cette section montrent comment définir le mot de passe du serveur de base de données.

La configuration d'un mot de passe Redis active l'une de ses fonctions de sécurité intégrées - la commande auth - qui oblige les clients à s'authentifier avant d'être autorisés à accéder à la base de données. Comme le paramètre bind, le mot de passe est configuré directement dans le fichier de configuration de Redis, /etc/redis.conf. Rouvrez ce fichier :

sudo vi /etc/redis.conf

Faites défiler jusqu'à la section SECURITY et recherchez une directive commentée qui se lit comme suit :

# requirepass foobared

Décommentez-le en supprimant le # et remplacez foobared par un mot de passe très fort de votre choix. Plutôt que de créer un mot de passe vous-même, vous pouvez utiliser un outil comme apg ou pwgen pour en générer un. Si vous ne souhaitez pas installer une application uniquement pour générer un mot de passe, vous pouvez utiliser la commande ci-dessous.

Notez que la saisie de cette commande telle qu'elle est écrite générera le même mot de passe à chaque fois. Pour créer un mot de passe différent de celui que cela générerait, remplacez le mot entre guillemets par tout autre mot ou expression.

echo "digital-ocean" | sha256sum

Bien que le mot de passe généré ne soit pas prononçable, il s'agit d'un mot de passe très fort et très long, qui correspond exactement au type de mot de passe requis pour Redis. Après avoir copié et collé la sortie de cette commande en tant que nouvelle valeur pour requirepass, elle devrait indiquer :

requirepass password_copied_from_output

Si vous préférez un mot de passe plus court, utilisez plutôt la sortie de la commande ci-dessous. Encore une fois, changez le mot entre guillemets pour qu'il ne génère pas le même mot de passe que celui-ci :

echo "digital-ocean" | sha1sum

Après avoir défini le mot de passe, enregistrez et fermez le fichier puis redémarrez Redis :

sudo systemctl restart redis.service

Pour tester le bon fonctionnement du mot de passe, accédez à la ligne de commande Redis :

redis-cli

Voici une séquence de commandes utilisées pour tester si le mot de passe Redis fonctionne. La première commande tente de définir une clé sur une valeur avant l'authentification.

set key1 10

Cela ne fonctionnera pas car nous n'avons pas encore été authentifiés, donc Redis renvoie une erreur.

Output(error) NOAUTH Authentication required.

La commande suivante s'authentifie avec le mot de passe spécifié dans le fichier de configuration Redis.

auth your_redis_password

Redis reconnaîtra que nous avons été authentifiés :

OutputOK

Après cela, réexécuter la commande précédente devrait réussir :

set key1 10

OutputOK

La commande get key1 demande à Redis la valeur de la nouvelle clé.

get key1

Output"10"

Cette dernière commande quitte redis-cli. Vous pouvez également utiliser exit :

quit

Il devrait maintenant être très difficile pour les utilisateurs non autorisés d'accéder à votre installation Redis. Veuillez noter, cependant, que sans SSL ou VPN, le mot de passe non crypté sera toujours visible pour les tiers si vous vous connectez à Redis à distance.

Ensuite, nous verrons comment renommer les commandes Redis pour mieux protéger Redis des acteurs malveillants.

Étape 4 - Renommer les commandes dangereuses

L'autre fonctionnalité de sécurité intégrée à Redis vous permet de renommer ou de désactiver complètement certaines commandes considérées comme dangereuses. Lorsqu'elles sont exécutées par des utilisateurs non autorisés, ces commandes peuvent être utilisées pour reconfigurer, détruire ou effacer vos données. Certaines des commandes connues pour être dangereuses incluent :

• FLUSHDB
• FLUSHALL
• KEYS
• PEXPIRE
• DEL
• CONFIG
• SHUTDOWN
• BGREWRITEAOF
• BGSAVE
• SAVE
• SPOP
• SREM RENAME DEBUG

Cette liste n'est pas exhaustive, mais renommer ou désactiver toutes les commandes de cette liste est un bon point de départ.

Que vous désactiviez ou renommiez une commande est spécifique au site. Si vous savez que vous n'utiliserez jamais une commande susceptible d'être utilisée de manière abusive, vous pouvez la désactiver. Sinon, vous devriez le renommer à la place.

Comme le mot de passe d'authentification, le changement de nom ou la désactivation des commandes est configuré dans la section SECURITY du fichier /etc/redis.conf. Pour activer ou désactiver les commandes Redis, ouvrez le fichier de configuration pour le modifier une fois de plus :

sudo vi  /etc/redis.conf

Pour désactiver ou tuer une commande, renommez-la simplement en une chaîne vide, comme indiqué ci-dessous :

# It is also possible to completely kill a command by renaming it into
# an empty string:
#
rename-command FLUSHDB ""
rename-command FLUSHALL ""
rename-command DEBUG ""

Pour renommer une commande, donnez-lui un autre nom comme dans les exemples ci-dessous. Les commandes renommées devraient être difficiles à deviner pour les autres, mais faciles à retenir pour vous :

rename-command CONFIG ""
rename-command SHUTDOWN SHUTDOWN_MENOT
rename-command CONFIG ASC12_CONFIG

Enregistrez vos modifications et fermez le fichier, puis appliquez la modification en redémarrant Redis :

sudo systemctl restart redis.service

Pour tester la nouvelle commande, saisissez la ligne de commande Redis :

redis-cli

Authentifiez-vous en utilisant le mot de passe que vous avez défini précédemment :

auth your_redis_password

OutputOK

En supposant que vous ayez renommé la commande CONFIG en ASC12_CONFIG, la tentative d'utilisation de la commande config devrait échouer.

config get requirepass

Output(error) ERR unknown command 'config'

L'appel de la commande renommée devrait réussir (elle est insensible à la casse) :

asc12_config get requirepass

Output1) "requirepass"
2) "your_redis_password"

Enfin, vous pouvez quitter redis-cli :

exit

Notez que si vous utilisez déjà la ligne de commande Redis, puis redémarrez Redis, vous devrez vous authentifier à nouveau. Sinon, vous obtiendrez cette erreur si vous saisissez une commande :

OutputNOAUTH Authentication required.

. . .

# Please note that changing the name of commands that are logged into the
# AOF file or transmitted to slaves may cause problems.

. . .

Étape 5 - Définition de la propriété du répertoire de données et des autorisations de fichier

Dans cette étape, nous examinerons quelques modifications de propriété et d'autorisations que vous pouvez apporter pour améliorer le profil de sécurité de votre installation Redis. Cela implique de s'assurer que seul l'utilisateur qui a besoin d'accéder à Redis est autorisé à lire ses données. Cet utilisateur est, par défaut, l'utilisateur redis.

Vous pouvez le vérifier en grep-ing pour le répertoire de données Redis dans une longue liste de son répertoire parent. La commande et sa sortie sont données ci-dessous.

ls -l /var/lib | grep redis

Outputdrwxr-xr-x 2 redis   redis   4096 Aug  6 09:32 redis

Vous pouvez voir que le répertoire de données Redis appartient à l'utilisateur redis, avec un accès secondaire accordé au groupe redis. Ce paramètre de propriété est sécurisé, mais les autorisations du dossier (qui sont définies sur 755) ne le sont pas. Pour vous assurer que seul l'utilisateur Redis a accès au dossier et à son contenu, modifiez le paramètre d'autorisations sur 770 :

sudo chmod 770 /var/lib/redis

L'autre autorisation que vous devez modifier est celle du fichier de configuration Redis. Par défaut, il a une autorisation de fichier de 644 et appartient à root, avec une propriété secondaire au groupe root :

ls -l /etc/redis.conf

Output-rw-r--r-- 1 root root 30176 Jan 14  2014 /etc/redis.conf

Cette permission (644) est lisible par tout le monde. Cela présente un problème de sécurité car le fichier de configuration contient le mot de passe non chiffré que vous avez configuré à l'étape 4, ce qui signifie que nous devons modifier la propriété et les autorisations du fichier de configuration. Idéalement, il devrait appartenir à l'utilisateur redis, avec une propriété secondaire au groupe redis. Pour ce faire, exécutez la commande suivante :

sudo chown redis:redis /etc/redis.conf

Modifiez ensuite les autorisations afin que seul le propriétaire du fichier puisse y lire et/ou y écrire :

sudo chmod 600 /etc/redis.conf

Vous pouvez vérifier le nouveau propriétaire et les nouvelles autorisations en utilisant :

ls -l /etc/redis.conf

Outputtotal 40
-rw------- 1 redis redis 29716 Sep 22 18:32 /etc/redis.conf

Enfin, redémarrez Redis :

sudo systemctl restart redis.service

Félicitations, votre installation Redis devrait maintenant être plus sécurisée !

Conclusion

Gardez à l'esprit qu'une fois que quelqu'un est connecté à votre serveur, il est très facile de contourner les fonctionnalités de sécurité spécifiques à Redis que nous avons mises en place. C'est pourquoi la fonctionnalité de sécurité la plus importante abordée dans ce didacticiel est le pare-feu, car cela empêche les utilisateurs inconnus de se connecter à votre serveur en premier lieu.

Si vous essayez de sécuriser la communication Redis sur un réseau non approuvé, vous devrez utiliser un proxy SSL, comme recommandé par les développeurs Redis dans le guide de sécurité Redis officiel.