如何保护RedisInsight?

g52tjvyc  于 2023-02-28  发布在  Redis
关注(0)|答案(2)|浏览(208)

我有一个RedisInsight示例在我的Kubernetes群集中运行。我使用Kong Ingress暴露了它。我的问题是当我显示它时,它没有任何身份验证机制。
我已经设置了环境变量:RITRUSTEDORIGINS,RIAUTHPROMPT,RIAUTHTIMER。但这并没有给予我想要的安全级别。有了这个,任何人都可以访问我的网站和删除任何数据库,而不需要身份验证。

kd3sttzy

kd3sttzy1#

Redis****insight可能不提供任何类型的Auth选项。Redis通常提供authTLS选项。

因此,如果您正在使用Kong网关,您可以设置使用插件与Kong一起设置洞察力URL上的验证。有大量选项可用于验证,如API密钥JWT用户/通行证等。

suzh9iv8

suzh9iv82#

我们具有多级代理认证的示例设置。
如果你想添加管理员级别的密码来保护自己不受redisinsight v1的攻击,请查看-https://github.com/RedisInsight/RedisInsight-reverse-proxy
您提到的变量并不保护RedisInsight本身,但保护是在示例级别。它不允许用户访问他们没有密码的示例,即使该示例已添加到RedisInsight。以下是您提到的RedisInsight v1环境变量的描述:

  • RITRUSTEDORIGINS-这使得RI可通过您托管的域访问。
  • RIAUTHPROMPT-这使得验证提示可用。用户名和密码与显示提示时红色的用户名和密码相同。
  • RIAUTHTIMER-显示提示的频率。

相关问题