近日，Redis服务器被曝漏洞。

黑客借助redis内置命令，可以对现有数据进行恶意清空。

此外，黑客可往服务器上写入SSH公钥文件，直接登录服务器。

由于针对此漏洞的修复方案需要修改配置文件，阿里云第一时间向用户发送了漏洞提醒和修复建议。

事实上，除了手动修复，阿里云用户还有两项体验更佳的选择。

该服务主要为云服务器提供定制化的安全防护策略、木马文件检测和高危漏洞检测与修复工作。

当发生安全事件时，阿里云安全团队可提供安全事件分析、响应，并进行系统防护策略的优化。

比如，此次Redis服务器漏洞事件发生后，只要授权，阿里云的安全工程师就会第一时间为用户完成修复。

还是先从Redis服务器漏洞的原理说起。

攻击者利用用户在linux环境下自建无认证且公网可访问的redis服务，使用redis命令重置环境变量，在用户目录写入一个ssh私钥文件，从而建立一个信任关系，这样不需要输入ssh密码就可以登陆用户的服务器。

目前的修复方案是，用户通过禁用部份redis命令(flushall, flushdb,config set, eval)，增加认证，以低权限用户启动服务，禁止公网访问来加固，同时采用传统的定期多重备份的方式确保数据可恢复。

阿里云的键值存储KVSTORE天生禁用config set，脚本命令，不支持公网访问，出于安全考虑强制在访问服务必须要认证，从而避免此类漏洞的产生，从源头上防患于未然。

此外，即将推出的快照功能，定期多重备份数据，确保用户数据不会丢失。

集群功能

可支持超大容量，超高性能。支持集群功能，提供128G及以上集群实例规格，可满足大容量和高性能需求。

提供64G及以下的主-从双节点实例，满足一般用户的容量和性能需求。

弹性扩容

存储容量一键扩容：用户可根据业务需求通过控制台对实例存储容量进行调整。

在线扩容不中断服务：调整实例存储容量可在线进行，无需停止服务，不影响用户自身业务。

资源隔离

针对实例级别的资源隔离，可以更好地保障单个用户服务的稳定性。

安全可靠

支持密码认证方式以确保访问安全可靠。

秒级别监控

提供秒级别实时监控，分钟级别历史监控。

提供各数据结构各接口的监控信息，访问情况一目了然，便于用户对KVStore的使用情况有充分的了解。