摘要：阿里遠(yuǎn)程服務(wù)器安全配置與使用前提在不安全的使用上是存在漏洞的，個(gè)人也是在這個(gè)上面吃了很大的虧，真的這個(gè)問題也是弄了半天，所以打算好好的記錄一下。

前提： redis在不安全的使用上是存在漏洞的，個(gè)人也是在這個(gè)上面吃了很大的虧，真的這個(gè)問題也是弄了半天，所以打算好好的記錄一下。

這里其實(shí)我就不過多的介紹了，網(wǎng)絡(luò)上有很多的安裝，大致都是一樣的，總結(jié)下來總共就是幾步

去官網(wǎng)下載redis的安裝包

解壓

進(jìn)入解壓目錄下 make。編譯

進(jìn)入src 目錄下 make install 安裝

接下來我們就可以啟動(dòng)redis了，在src目錄下 啟動(dòng)redis服務(wù)

./redis-server

啟動(dòng)redis服務(wù)之后，我們發(fā)現(xiàn)是前臺啟動(dòng)的，修改起配置 讓其后臺啟動(dòng)

進(jìn)入redis的解壓目錄下 vi編輯器打開 redis.conf 文件

將daemonize的值改為yes

wq 保存

進(jìn)入src 目錄 通過配置文件啟動(dòng)

 ./redis-server  ../redis.conf

Ok 到這為止就安裝好了，我們可以通過命令查看redis的服務(wù)是否啟動(dòng)

ps -ef | grep redis

總結(jié)： 其實(shí)到目前為止，我們的redis就可以使用了。但是問題往往開始出現(xiàn)了。

其實(shí)整個(gè)問題的出現(xiàn)源起一個(gè)異常：

redis.clients.jedis.exceptions.JedisConnectionException: Could not get a resource from the pool

我也百度過會(huì)出現(xiàn)這個(gè)問題的原因：

連接池里面的線程不夠用了，要對redis進(jìn)行配置一下

外部根本就訪問不到redis

其實(shí)大多數(shù)情況下，我們的各種配置都是拷貝好的，稍微改改參數(shù)而已，所以問題就出現(xiàn)在了外部無法訪問redis，對于這個(gè)東西我們可以使用工具測試

使用redis遠(yuǎn)程連接客戶端（Redis Desktop Manager ）連接一下看看是否能連接上

telnet 測試一下 （自行百度吧，因?yàn)槲乙矝]用過 我是直接用客戶端連接測試的）

當(dāng)你測試后發(fā)現(xiàn)，哎呀 確實(shí)連不上哈，直接就去百度，redis如何外部訪問，百度會(huì)給你一堆結(jié)果，不過都是一樣的：

修改redis安裝目錄下的redis.conf文件，把 # bind 127.0.0.1 這個(gè)前面的注視去掉，并改為0.0.0.1

重啟redis服務(wù)器

好了 你再試試。邪魅的?

這個(gè)時(shí)候你再去連接的時(shí)候你發(fā)現(xiàn)，確實(shí)連接上了，并且程序中使用的redis也沒問題了。

到此為止 ：我們可能以為萬事大吉了，可是沒多久你就會(huì)發(fā)現(xiàn)你錯(cuò)了，而我的錯(cuò)誤也從此開始。

上面的一系列操作都是我的真實(shí)操作，當(dāng)然中間其實(shí)有一些我操作上的失誤，一會(huì)下面我詳細(xì)說一下。

redis的這個(gè)坑其實(shí)遇到的人還是蠻多的，廢話少說，直接給大家上圖：

簡單列舉一下：

可疑文件路徑：root/.ssh/authorized_keys

漏洞進(jìn)程路徑: /usr/local/cl_java/redis-4.0.2/src/redis-server

事件說明: 云盾檢測到服務(wù)器上Redis漏洞被黑客利用向磁盤上寫入了可疑文件，可能導(dǎo)致黑客直接獲取ECS的Root權(quán)限。請及時(shí)修復(fù)Redis配置漏洞，并清理告警詳情中的可疑文件

解決方案：

https://help.aliyun.com/knowl...

https://help.aliyun.com/knowl...

http://www.setphp.com/981.html

這幾個(gè)解釋了為什么會(huì)出現(xiàn)這樣的問題，以及該如何解決。

其實(shí)這里的重點(diǎn)并不是如何結(jié)局，而是我們?yōu)槭裁淳团龅搅藃edis的這個(gè)坑呢？

其實(shí)這個(gè)是我們新手比較容易搞亂套的一些東西，還有一些我們需要搞清楚的知識點(diǎn)

阿里云的外網(wǎng)與私網(wǎng) IP

外網(wǎng)IP：給外部人訪問，也稱為公網(wǎng)，對于外網(wǎng)的流量，阿里云是收費(fèi)的。

內(nèi)網(wǎng)IP：就是局網(wǎng)IP，如果你有幾臺以上的云主機(jī)，可以局網(wǎng)傳輸數(shù)據(jù)，局網(wǎng)傳輸數(shù)據(jù)不占用外部帶寬限制，傳輸大文件速度會(huì)快很多很多。

準(zhǔn)確說內(nèi)網(wǎng)IP地址的地址段是專門給私有網(wǎng)絡(luò)用的，大多數(shù)用于內(nèi)部網(wǎng)絡(luò)的通信，或者外網(wǎng)IP缺少時(shí)，替代外網(wǎng)IP進(jìn)行網(wǎng)絡(luò)設(shè)備IP的分配。
外網(wǎng)IP其實(shí)就是合法的互聯(lián)網(wǎng)地址，所有在互聯(lián)網(wǎng)中的網(wǎng)絡(luò)設(shè)備，服務(wù)器，計(jì)算機(jī)之間的通信都是通過外網(wǎng)IP進(jìn)行通信的。
另外對于局域網(wǎng)這個(gè)概念，其實(shí)不僅僅局限于內(nèi)網(wǎng)，比如同一個(gè)網(wǎng)段的公網(wǎng)IP的網(wǎng)絡(luò)也屬于局域網(wǎng)的范疇！

我的理解

我的理解其實(shí)就是很簡單

公網(wǎng)不安全

內(nèi)網(wǎng)外部不能訪問，安全

哈哈 當(dāng)然了我說的是否準(zhǔn)確，希望有大佬們幫忙指導(dǎo)。

我所犯的錯(cuò)誤

前提：我們接的別人的1期項(xiàng)目，拿到手之后修改放在自己的服務(wù)器上運(yùn)行。

很直接的直接把程序中的配置文件中訪問人家服務(wù)器的地址全部直接修改為我們服務(wù)器的地址（公網(wǎng)）

運(yùn)行出問題。。。

找了半天，找到了問題，公網(wǎng)訪問不通，直接百度，把服務(wù)器的防火墻關(guān)了，開放了端口，設(shè)置了redis的外部訪問。。

最后問題就出現(xiàn)了。 服務(wù)器被攻擊了。

這個(gè)時(shí)候其實(shí)我們應(yīng)該已經(jīng)意識到不要通過公網(wǎng)訪問的問題了

把redis 的配置文件 也就是redis.conf 中的bing 0.0.0.1 注釋掉，禁止外部去訪問。

修改程序中的配置文件，將redis訪問的地址改為內(nèi)網(wǎng)ip。

再次打包上傳，這樣其實(shí)就沒有問題了，當(dāng)然還有一些安全的解決方案，可以看一下上面給出的解決問題的連接。

其實(shí)一開始我知道要這樣配置，但是如果把配置文件的請求地址都改為內(nèi)網(wǎng)ip 的話，你的本地程序是起不來的，因?yàn)槲覀儫o法直接連接到內(nèi)網(wǎng)。

那么如果想要本地測試，并且保證起安全性的話，我們需要配置openvpn，參看配置文檔： https://help.aliyun.com/knowl...

ok，到此為止我的問題解決了。

最后我想說幾點(diǎn)

千萬別拿配置本地服務(wù)器（自己的機(jī)器上）的操作操作云服務(wù)器

因?yàn)楹芏嗲闆r下，我們在設(shè)置本機(jī)的服務(wù)器的時(shí)候，查詢百度的結(jié)果動(dòng)不動(dòng)就是開啟哪個(gè)端口，關(guān)閉防火墻。如果是在云端的服務(wù)器的話，就很容易被這樣的挖礦程序攻擊。

修改端口與防火墻的操作一定要慎重

目前我這個(gè)技術(shù)有限，希望大佬們看到了多多指教。

挖礦程序瓦的比特幣到底是啥：https://www.zhihu.com/questio...