【Redis扩展篇(二)】安全

最新推荐文章于 2024-05-10 19:48:25 发布
最新推荐文章于 2024-05-10 19:48:25 发布
阅读量388 收藏
点赞数
分类专栏: Redis 文章标签: redis 安全 lua
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leesure_CSDN/article/details/125371342
版权

Redis安全

1. 指令安全

Redis有一些非常危险的指令,这些指令会对Redis的稳定以及数据安全造成非常严重的影响。比如keys(获取匹配成功的所有Key)指令会导致Redis卡顿,flushdbfushall会让Redis的所有数据全部清空,如何避免人为操作失误导致这些灾难性的后果也是运维人员特别需要注意的风险之一。

Redis在配置文件中提供了rename-command指令用于将某些危险的指令修改为别的名称,用来避免人为误操作,比如配置文件的seurity块中增加内容

rename-command keys abdkeysabc

2. 端口安全

Redis默认会监听6379端口,如果当前的服务器主机有外网地址,Redis的服务将会直接暴漏在公网上,任何一个初级的黑客使用适当的工具对IP地址进行端口扫描就可以检测出来。

Redis服务地址一旦可以被外网直接访问,内部的数据就彻底丧失了安全性。高级一点的黑客们可以通过Redis执行Lua脚本拿到服务器权限,恶意的竞争对手们甚至会直接清空Redis数据库(好狠心)。

bind 10.100.20.13

所以,运维人员务必在Redis的配置文件中指定监听的IP地址,更进一步,还可以增加Redis的密码访问限制,客户端必须使用auth指令传入正确的密码才可以访问Redis。这样及时地址暴漏了,普通黑客也无法对Redis进行任何指令操作。

requirepass your password

密码控制也会影响从节点复制,从节点必须在配置文件中使用masterauth指令配置相应的密码才能进行复制操作

masterauth your password

3. Lua脚本安全

开发者必须禁止Lua脚本由用户输入的内容(UGC)生成,这可能会被黑客利用,通过植入恶意的攻击代码来得到Redis的主机权限。同时,我们应该让Redis以普通用户的身份启动,这样即时存在恶意代码,黑客也无法拿到root权限。

4. SSL代理 spiped

Redis并不支持SSL连接,意味着客户端和服务器之间交互的数据不应该直接暴漏在公网上传输,否则会有窃听的风险。如果必须要用在公网上,可以考虑使用SSL代理。

SSL代理比较常见的由ssh,不过Redis官方推荐使用spiped工具,可能时因为spiped的功能比较单一,使用也比较简单,易于理解。同样,SSL代理也可以用在主从复制上,如果Redis主从实列需要跨机房复制,spiped也可以派上用场。

5. 安全通信

如果有这样一个场景,因为一个紧急需求,需要跨机房读取Redis数据,应用部署在A机房,存储部署在B机房。如果使用普通tcp直接访问,因为跨机房所以传输数据会保留在公网上,这非常不安全,客户端和服务器交互的数据存在窃听的风险。

因为Redis本身并不支持SSL安全连接,不过有了SSL代理软件,我们可以让通信数据得到加密,Redis官方推荐spiped代理

spiped原理

spiped会在客户端和服务器各启动一个spiped进程。在Client端,spiped进程负责将发送的数据加密。在服务器端,spiped负责将接收到的数据解密。

每一个spiped进程都会有一个监听端口server socket用来接收数据,同时还会作为一个Redis客户端将数据转发到目标地址。

spiped进程需要成对出现,相互之间需要使用相同的共享密钥来加密信息。

spiped安装

# Mac
> brew install spiped
# Linux
> apt-get install spiped
> yum install spiped

使用

(1) 使用docker启动redis-server, 注意要绑定本机的回环127.0.0.1

> docker run -d -p127.0.0.1:6379:6379 --name redis-server-6379 redis
> docker ps

(2) 生成随机的密钥文件

# 随机的32个字节
> dd if=/dev/urandom bs=32 count=1 of=spiped.key

(3) 使用密钥文件启动服务器spiped进程,172.16.128.81是本机的公网IP地址。

# -d 表示decrypt(对输入数据进行解密) -s为源监听地址, -t为转发目的地址
> spiped -d -s '[172.16.128.81]:6479' -t '[127.0.0.1]:6379' -k spiped.key

这个spiped进程监听公网IP的6479端口接收公网上的数据,将数据解密后转发到本机回环地址的6379端口,也就是redis-server监听端口。

(4)使用密钥文件启动客户端 spiped进程

# -e表示encrypt,对输入数据进行加密
> spiped -e -s '[127.0.0.1]:6579'  -t '[172.16.128.81]:6479' -k spiped.key

客户端spiped进程监听了本地回环地址6579端口,将该端口上收到的数据加密转发到服务器spiped进程。

(5)启动客户端连接,因为Docker里面的客户端不好访问宿主机的回环地址。所以使用python代码来启动Redis的客户端。

import redis

c = redis.StrictRedis(host='localhost', port=6579)
c.ping()
c.info('CPU')

如果尝试直接连接服务器spiped进程(加密的端口6379)

import redis

c = redis.StrictRedis(host='172.16.128.81', port=6479)
c.ping()

spiped可以同时支持多个客户端连接的数据转发工作,还可以通过参数参数来限定允许的最大客户端连接数,但是对于服务器spipe,他不能同时支持多个服务器之间的转发,也就意味着在集群环境下,需要为每一个server结点启动一个spiped进程来代收消息。

企鹅宝儿
关注
专栏目录
Redis——Redis扩展与应用
庄小焱
04-02 1473
Redis 和 Memcached 的区别? Redis的高级的数据结构 String、Hash、List、Set、SortedSet。HyperLogLog、Geo、Pub/Sub。那你说还玩过Redis Module,像BloomFilter,RedisSearch,Redis-ML 避免缓存穿透的利器之BloomFilter 如果有大量的key需要设置同一时间过期,一般需要注意什么? 如果大量的key过期时间设置的过于集中,到过期的那个时间点,Redis可能会出现短暂的卡顿现象。严重的.
Redis部署全攻略——SSL/TLS配置
bbsxb520的博客
06-14 2086
redis的TLS开启,及单机模式、主从模式、哨兵模式、集群模式的配置方法
redis详解
vvoennvv的博客
11-09 101
如果aof文件有错位,这时候redis是启动不起来的,开发者需要修复aof文件,redis为开发者提供了一个工具,也就是bin目录下的redis-check-aof,开发者只需在redis bin目录下执行redis-check-aof --fix appendonly.aof即可。RDB模式的优势是适合大规模的数据恢复、且对数据的完整性不高。在这种情况下,当redis重启的时候会优先载入aof文件来恢复原始的数据,因为在通常情况下aof文件保存的数据要比rdb文件保存的数据要完整,而rdb的数据不实时。
Redis数据库安全之旅
Huangjiazhen711的博客
11-12 692
Redis相信大家都或多或少都听说过吧,作为内存数据库的代表, 但是近些年Redis被攻击的典范也是越来越多,我们将如何防护Redis安全呢?跟着我们的脚本,来看看这文章吧.对于Redis而言,我们设置的方法大概有以下几种通过redis.conf设置。在已经启动的Redis中使用CONFIG SET来设置。如之前所述,安全方面归根结底,总结一句话就是:最好的安全设置就是最小化权限。那我们来看下,Redis有哪些安全设置呢?安全一直是大家比较关心的话题,在Redis
记录解决问题--redis ssl连接
最新发布
qq_42977853的博客
05-10 773
说明不是redis ssl连接不上的问题,是redis没有开启config这个命令。springboot连接redis启动报错,感觉是没连上redis,本地是正常启动的,但是本地不是ssl连接。③在端口是通的情况下,使用redis-cli连接redis。③受信的ssl连接,类似于https是安全的,连接的时候,需要开启ssl连接,不需要提供证书。②不受信的ssl连接,也就是自己生成的密钥对,连接的时候,需要开启ssl连接,需要提供密钥。①一般不开启ssl的连接,直接连接即可,有密码输密码。
Redis 系统高性能的保障
右见小栈
01-10 231
在商业中 “现金为王”,而在互联网、移动互联网乃至整个软件世界中,有一个与之相近的说法是“缓存为王”。
php-redis5.4.x扩展文件和服务端文件
07-06
在本中,我们将详细讲解如何在 PHP 5.4.x 环境下安装并使用 PHP Redis 扩展,同时也会涉及 Redis 服务端的版本要求。 **一、Redis 服务端安装与配置** 在开始 PHP Redis 的安装前,你需要确保已经安装了 Redis ...
redis 入门 代码 redis入门
06-15
在本文章中,我们将深入探讨Redis的基础知识,包括其安装、数据类型、命令操作以及实际应用。 一、Redis的安装与启动 在大多数Linux发行版上,Redis可以通过包管理器轻松安装。例如,在Ubuntu上,可以使用`sudo ...
Go+Redis实现的并发安全限流器
07-30
文章将详细讲解如何使用Go语言和Redis来实现并发安全的限流器,同时涵盖计数器限流和滑动窗口限流两种策略。 首先,我们来理解"Go+Redis实现的并发安全限流器"的核心概念。Go语言以其高效的并发模型和丰富的库...
Redis集群搭建.docx
03-20
在高可用性和扩展性的需求下,Redis提供了集群功能来实现数据的水平分片和故障转移。本文将详细介绍如何搭建一个Redis集群,包括主从复制、哨兵机制以及集群模式。 #### 、准备工作 在进行Redis集群搭建之前,...
Redis SSL/TLS配置以及Jedis SSL连接
窗前明月风的博客
11-29 6487
Redis 6.2X SSL/TLS加密配置研究(主从、集群、压测) 最近因工作需要配置Redis 6.2X版本的SSL/TLS加密网上资料比较少,并且多是直接客户端和服务端直接连接,并未说明主从、集群如何配置,踩了一部分坑,做个记录 前提 Redis 6.2X和Redis 6.0X都支持SSL/TLS,但Redis 6.2X比较好的一点是不需要升级gcc版本,默认centos7的gcc版本是4.8,但是Redis6.0X编译是需要升级gcc版本到5.3以上,而Redis6.2X是不需要的 目前
redis-[4]-redis持久化RDB和AOF
hjw199089的博客
07-01 365
持久化方式 RDB:默认支持,指定时间间隔写磁盘 AOF:日志形成 无持久化 同时RDB和AOF RDB RDB: 只包含一个文件 高可用性差(指定时间间隔写磁盘) 配置:redis.conf 中  save 900 1   含义: 900s 1个key 变化写入 save 300 10 save 60  10000 存盘文件和路径 dbfilename dump.
Redis 常用命令
chunqizhi
04-07 453
本文主要参考红丸出品的《Redis实战》,稳定版本为 2.2.12。 1 键值相关命令 1.1 keys 返回满足给定 pattern 的所有 key。 keys * keys key* 1.2 exists 判断一个 key 是否存在,存在返回 1,否则返回 0。 exists key 1.3 del 删除一个 key。 del key 1.4 expire 设置一个 key 的过期时间...
成功实现Redis使用SSLSTL安全访问
egegerhn的博客
03-24 640
文章目录 应用场景 Openssl证书生成 下载并安装Redis 验证TSL是否生效 应用场景 redis服务不能直接通过客户端访问,而是通过有相应的证书才能连接。 Openssl证书生成 mkdir -p tests/tls openssl genrsa -out tests/tls/ca.key 4096 openssl req -x509 -new -nodes -sha256 -key tests/tls/ca.key -days
成功实现Redis使用SSL/STL安全访问
爱折腾的Albert
10-22 9400
文章目录应用场景Openssl证书生成下载并安装Redis验证TSL是否生效 应用场景 redis服务不能直接通过客户端访问,而是通过有相应的证书才能连接。 Openssl证书生成 mkdir -p tests/tls openssl genrsa -out tests/tls/ca.key 4096 openssl req \ -x509 -new -nodes -sha256 \ -key tests/tls/ca.key \
Redis详解
m0_52946104的博客
06-09 403
Nosql概述 为什么要用Nosql 我们现在处理什么时代?2020年,大数据时代 我们现在处理什么年代2020年, 压力越来越来越大 适者生存!!一定要逼着自己学习 1,单机 Mysql 90年代,一个基本的网站访问量一般不会太大,单个数据库完全足够!! 那个时候,更多的去使用静态网页Html-服务器没有太大的压力 考虑一下这种情况下:整个网站的瓶颈是什么? 1 .数据量如果太大,一个机器放不下!! 2. 数据的索引(B+Tree),一个机器内存也放不下 3. 访问量(读写混合),一个服务器承受不了
Redis安全措施
cainiao1412的博客
01-09 2913
指令安全 Redis的一些指令会对Redis服务的稳定性及安全性各方面造成影响,例如keys指令在数据量大的情况下会导致Redis卡顿,flushdb和flushall会导致Redis的数据被清空。 Redis在配置文件中提供了 rename-command 指令用于将一些危险的指令修改成其他指令,例如: rename-command keys xxxnxxx 复制代码 将 keys 指令修改为 xxxnxxx 指令,这样需要执行 keys 指令的时候,输入 xxxnxxx 才是对的效果,以此可以
redis info memory
jueshengtianya的专栏
03-02 1709
INFO [section] 以一种易于解释(parse)且易于阅读的格式,返回关于 Redis 服务器的各种信息和统计数值。 通过给定可选的参数 section ,可以让命令只返回某一部分的信息: server 部分记录了 Redis 服务器的信息,它包含以下域: redis_version : Redis 服务器版本redis_git_sha1 : Git SH
Redis 6.0 TLS支持
middleware2018的博客
09-29 1667
原文:https://redis.io/topics/encryption 翻译:Wen Hui 转载:中间件小哥 Redis从版本6开始支持SSL / TLS,这是一项可选功能,需要在编译时启用。 编译 要使用TLS支持进行构建,你需要OpenSSL开发库(例如Debian / Ubuntu上的libssl-dev)。 运行make BUILD_TLS = yes。 验证 要使用TLS运行Redis测试套件,你需要TCL的TLS支持(即Debian / Ubuntu上的tcl-..
Windows下PHP7.1 Redis扩展安装与实战教程
如果读者遇到在Windows下安装Redis扩展的问题,这文章提供了实用的指导,尤其是在处理不同架构和版本兼容性方面。通过遵循这些步骤,用户可以顺利地在Windows环境中配置和使用PHP与Redis的集成。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

企鹅宝儿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值