内网环境安全整改简单办法

最近网络安全的要求越来越高, 公司内部的测试服务器,也要求不能有弱密码

其实这一点是很赞成的, 决定一个系统安全性的肯定是最薄弱的一环, 高安全性是必须要求的 . 但是因为前期测试环境出于简单的考虑, 以及一些实现起来比较复杂的问题. 这边预制了很多空密码还有一些弱密码 需要修改.

主要涉及的地方有:

1. redis 

因为使用redis作为缓存层, 默认的配置文件里面又没有 全局密码设置的地方 所以就默认修改为空密码了.

并且为了简单起见能通过外部机器直接修改flushall redis 的缓存. 将bind 的ip地址设置成了 0.0.0.0 造成空密码问题

redis 空密码有很严重的问题 很容易就会被恶意第三方控制. 方法就是利用redis的磁盘写入重定向 修改 可执行文件. 

解决方法:

windows 环境. 如果是控制台运行的话  可以打开安装盘目录内的配置文件 进行修改.

通过启动命令查找 参数文件的位置:

 将bind 的ip 地址修改为 loopback 回文地址即可

bind 127.0.0.1

Linux机器的处理, 方法类似也是查找 配置文件的位置然后进行修改:

查找所使用的配置文件的方法:

在linux系统里面输入 redis-cli

然后执行 info

就可以查看 配置文件信息:
127.0.0.1:6379> info
# Server
redis_version:5.0.0
redis_git_sha1:00000000
redis_git_dirty:0
redis_build_id:df2cf8484a45e77a
redis_mode:standalone
os:Linux 4.20.13-1.el7.elrepo.x86_64 x86_64
arch_bits:64
multiplexing_api:epoll
atomicvar_api:atomic-builtin
gcc_version:4.8.5
process_id:9959
run_id:b3fb2c2409fc700beaf6e461fd3b8b37b7598107
tcp_port:6379
uptime_in_seconds:596770
uptime_in_days:6
hz:10
configured_hz:10
lru_clock:6067860
executable:/usr/bin/redis-server
config_file:/root/redis/redis-5.0.0/redis.conf

修改配置文件. 

方法1: # 打开文件
vim /root/redis/redis-5.0.0/redis.conf
# 进入编辑模式 按键 i 
#查找bind  按ESC退出到命令模式,输入/bind 既可以查找 
#继续修改 输入 i 将 0.0.0.0 修改成 127.0.0.1即可. 

方法2: 执行命令

sed -i 's/bind 0.0.0.0/bind 127.0.0.1/g'  /root/redis/redis-5.0.0/redis.conf

然后重启redis即可.

如果是docker化方式在运行, 需要的方式建议 直接修改 docker run 的命令, 将 -p 的命令修改即可, 

命令范例:

docker run -d --name myredis -p 127.0.0.1:6379:6379 arm64v8/redis

将绑定地址修改到 127.0.0.1 即可. 

2. postgres 数据库的修改.

建议大家采取最简单的方法.

使用 navicat 或者是 DbVisualizer 的方式连接数据库, 然后修改密码即可

alter user postgres with password 'Test1127?!'

关于postgresql数据库还有一点需要注意  配置文件不能使用trust 进行配置 不然就是空密码了.

简单说一下linux上面的方法:

1. systemctl |grep postgres 
查找服务名
2. systemctl status postgresql-10 查看启动命令

3. 进入 -D 的数据目录

vim pg_hba.conf

注意 如果是 0.0.0.0 的话 不能是 trust 的 不然就是空密码的问题了. 

3. sqlserver 数据库修改密码的方法

在数据库服务器执行命令.

sqlcmd -U sa -P OldPassword -Z NewPassword

就可以了 如果自己比较懒 可以在本地执行(前提安装了 sqlserver的客户端)
强烈建议在客户端执行命令.
sqlcmd -S 10.24.101.29  -U sa -P Test1127 -Z Test1127?!

注意 出现 1> 说明密码修改正确

 

4. Oracle 数据库修改密码

登录数据库

sqlplus system/Test1127@10.24.101.29/ora12cr2

修改密码

 alter user system identified by Test1127;

或者是在服务器本地 (如果自己笔记本没有安装oracle客户端的话)
强烈建议在客户端执行命令和sql.

执行

sqlplus / as sysdba 既可以进入 数据库.

 

5. 修改 windows的密码

执行命令

net user administrator Test1127?!

备注 Test1127?! 就是新密码

6. 修改linux 的root用户密码

sudo passwd root

type new password 即可.