Linux——redis理论、安全模型

最新推荐文章于 2024-09-04 21:35:22 发布
最新推荐文章于 2024-09-04 21:35:22 发布
阅读量824 收藏 20
点赞数 8
分类专栏: Linux redis 文章标签: linux redis 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xinan_____/article/details/141894814
版权
Linux 同时被 2 个专栏收录
54 篇文章 0 订阅
订阅专栏
redis
2 篇文章 0 订阅
订阅专栏

一、redis 主要的data type

  1. redis 的原生客户端
  2. redis 支持通过python php golang 等语言连接
  3. redis 主要适用场景

二、redis如何进行数据存储

  1. 非关系数据库    不使用二维表   redis 使用键值对完成数据的存储
  2. redis一共有16个库 ,不同的库使用编号   0-15
  3. redis 在存储每一个键值对的时候,为键分配对应的slot
  4. redis优先在内存中完成数据的读取 写入 修改等操作   // redis 数据操作速度很快
  5.  redis的服务端进程在运行期间向操作系统申请内存,保存数据,一旦服务端进程停止,操作系统给进程分配的内存等系统资源都会回收,重新启动redis 服务端之后,进程再次向操作系统申请内存,操作系统将给进程 分配新的内存页,如果redis只在内存中保存数据那么就很容易发生数据丢失。内存属于易失性存储。
  6. 基于5的问题,redis 提出了数据持久化的策略
    • rdb   redis database 对数据进行快照,并保存到指定文件,再重启后从指定的快照文件恢复数据    
      1. rdb 持久化在大部分情况下都是默认启用
      2. save 时间:以秒为单位  次数:数据变更操作的次数     //在规定时间间隔中,数据变更的次数达到指定次数,则对redis进行快照.快照由bgsave 指令完成
      3. rdb文件名称  rdbfilename
      4. 文件的保存位置 dir
      5. 在每一次redis 服务端进程停止的时候,自动执行一个bgsave 更新rdb数据快照
    • aof   append only file 持续追踪redis数据变更,并将数据变更的指令写入aof文件中,所以aof 文件实际是记录redis数据操作的日志文件
      1. aof持久化在更新aof文件,有三种策略   appendfsync
        1. no      使用操作系统默认时间设置更新AOF文件,一般在linux操作系统中为半个小时       更新需要的时间更久,也比较容易发生数据丢失的情况
        2. everysec 每一秒更新AOF文件     文件更新速率更加频繁,数据不容易丢失
        3. always  追踪每一个数据变更操作,一旦发生就更新到AOF文件中  最不可能发生数据丢失,但是需要频繁更新AOF文件
      2. aof 策略默认不启用,需要手动启用
        1. appendonly   值为yes 代表启用,值为no代表不启用
      3. aof 因为是一个只增文件,所以文件大小会不断增加,所以在文件大小超过一定大小后,需要对文件进行重写,以压缩AOF文件大小
        1. aof的重写策略
          1. 文件大小
          2. 和文件相较于上一次重写时的大小
        2. AOF文件的重写 是通过 bgrewriteaof 指令实现
      4. 在aof 和 rdb 同时启用情况下,redis 优先从aof文件进行数据恢复,rdb文件就会被忽略
      5. 在同时启用的情况下,一定要保证在启用aof前通过,先创建AOF文件,否则可能发生数据丢失的情况

三、redis 的安全模型

  1. redis 默认情况下,所有的数据操作由一个叫default的用户完成,这个用户没有使用任何的密码保护,并且所有的redis实例都有default
  2. redis 默认情况下 仅监听环回口 lo逻辑端口 redis 还支持通过socket 套接字文件进行访问 以上的链接服务端的设置,都限制redis的客户端必须和redis服务端在同一个节点
  3. 如果redis 被配置为监听非LOOPBACK地址后,需要开启保护模式,在保护模式下,所有用户的访问必须要验证密码,仅允许在127.0.0.1 上登录redis的用户不需要验证口令

修改redis监听系统中所有的可用地址

vim  /etc/redis/redis.conf

 4. requirepass

可以直接配置一个访问redis实例的密码 所有客户端对于redis服务端的访问都使用同一个密码,同时密码以明文传输 所以安全性不够,redis更推荐使用专门的acl指令 另外配置用户 密码 和权限

redis 验证用户口令的命令  

auth  [用户名] 密码

[root@bogon ~]# systemctl restart redis
[root@bogon ~]# redis-cli  
127.0.0.1:6379> 
127.0.0.1:6379> keys *
(error) NOAUTH Authentication required.			// 提示需要密码
127.0.0.1:6379> auth redhat123
OK
127.0.0.1:6379> keys *
 1) "bike2"
 2) "counter"
 3) "set2"
 4) "bike:3"
 5) "newke"
 6) "bike"
 7) "queue2"
 8) "game_event"
 9) "bike:2"
10) "eee"
11) "site1"
12) "sset1"
13) "bike:1"
14) "set1"
15) "newqueue"
16) "bike1"
127.0.0.1:6379> exit

5.ACL 指令

确保用户在使用给定用户访问时,使用最小权限

acl list 列出redis中所有的用户 密码  权限

 

127.0.0.1:6379> acl list 
1)"user default on nopass ~* &* +@all"			// 默认用户default的基本信息 
用户default 账号启用,用户账号没有设定密码,允许用户控制所有的键值对和频道,用户有权运行任何redis指令
a.user 			// 用户账号
b.default		// 用户名 
c.on 			// 用户账号启用 即此用户可以访问redis数据库
d.nopass		// 当前用户无密码    用户密码
// >密码   设置密码 此处提交明文密码,由redis进行加密
// #加密后的字符串 此处直接使用加密后的字符串提交,无需redis	// 进行机密 提交的字符串必须使用sha256 进行加密
e.~*			// 允许访问的键名  ~ 允许访问的键名 键的名匹配模式  * 
// redis 7.0 以上的版本还可以详细区分读写权限 
// %RW~键名匹配模式      
f.&*			// redis 在作为消息队列使用时,可以进行消息队列的建立和发布
// 建立不同的消息队列时,会使用publish发布频道 和
// scribe 命令实现订阅频道
// & 限制对于频道的订阅
// &频道名称的匹配模式
// &* 开放所有的channel(频道)
g.+@all		// 授权命令,
// +命令1|子命令或者参数…… 授权用户可以使用
// -命令1|子命令 或者参数……  禁止用户使用的命令 
// @all 代表所有的指令

(6)创建用户以及设置用户权限 
acl setuser 
acl load 文件名
acl list    以acl文件格式列出用户信息
acl getuser 用户名  	已较有条理的方式列出用户的基本信息
acl deluser 用户名 	删除用户
acl whoami 查看当前登录用户
acl users   列出所有用户
acl save    将当前的用户配置保存到ACL文件

127.0.0.1:6379> ACL SETUSER alice 
OK
127.0.0.1:6379> acl list 
1) "user alice off &* -@all"

alice 用户账号未启用  没有授权任何键和命令的使用 但是可以访问所有的频道 redis不同版本用户的初始化设定不同

启用用户,并给用户设定对应的权限

127.0.0.1:6379> ACL SETUSER alice on 			// 启用用户
OK
127.0.0.1:6379> acl list 
1) "user alice on &* -@all"
2) "user default on nopass ~* &* +@all"
127.0.0.1:6379> ACL SETUSER alice >redhat			// 设置密码
OK
127.0.0.1:6379> ACL LIST
1) "user alice on #7d3b5c83009fadf734c06eeecd7fbe256c69f71c8ba0429e4d7ad5f54b2e4097 &* -@all"
2) "user default on nopass ~* &* +@all"
127.0.0.1:6379> ACL SETUSER alice -@all +set +get			//授权命令 
OK
127.0.0.1:6379> ACL GETUSER alice 
 1) "flags"
 2) 1) "on"
    2) "allkeys"
    3) "allchannels"
 3) "passwords"
 4) 1) "7d3b5c83009fadf734c06eeecd7fbe256c69f71c8ba0429e4d7ad5f54b2e4097"
 5) "commands"
 6) "-@all +get +set"
 7) "keys"
 8) 1) "*"
 9) "channels"
10) 1) "*"
127.0.0.1:6379> auth alice redhat
OK
127.0.0.1:6379> get eee
"5555"
127.0.0.1:6379> set alice newuser
OK
127.0.0.1:6379> get alice 
"newuser"
127.0.0.1:6379> del alice 		// 这里删除键 缺少权限
(error) NOPERM this user has no permissions to run the 'del' command or its subcommand
127.0.0.1:6379> ACL SETUSER alice +@string 
OK
127.0.0.1:6379> ACL SETUSER default >redhat
OK
127.0.0.1:6379> acl list 
1) "user alice on #7d3b5c83009fadf734c06eeecd7fbe256c69f71c8ba0429e4d7ad5f54b2e4097 ~* &* -@all +@string"
2) "user default on #7d3b5c83009fadf734c06eeecd7fbe256c69f71c8ba0429e4d7ad5f54b2e4097 ~* &* +@all"
127.0.0.1:6379> auth alice redhat
OK
127.0.0.1:6379> set a_kay asfsdfa
OK
127.0.0.1:6379> get a_key
(nil)
127.0.0.1:6379> mset b_ksy asdasfa c_key sdfdsfs
OK
127.0.0.1:6379> mget a_key b_key c_key
1) (nil)
2) (nil)
3) "sdfdsfs"
127.0.0.1:6379> mget a_kay b_ksy c_key
1) "asfsdfa"
2) "asdasfa"
3) "sdfdsfs"
127.0.0.1:6379> auth default redhat   //使用auth 可以直接在不同用户之间切换 
OK
127.0.0.1:6379> acl list 
1) "user alice on #7d3b5c83009fadf734c06eeecd7fbe256c69f71c8ba0429e4d7ad5f54b2e4097 ~* &* -@all +@string"
2) "user default on #7d3b5c83009fadf734c06eeecd7fbe256c69f71c8ba0429e4d7ad5f54b2e4097 ~* &* +@all"

在为用户设置密码后,登录redis库的操作方法:

[root@bogon ~]# redis-cli --user default --pass redhat		// 使用明文密码
Warning: Using a password with '-a' or '-u' option on the command line interface may not be safe.
127.0.0.1:6379> exit
[root@bogon ~]# redis-cli --user default --askpass		// 不显示明文密码
Please input password: ******
127.0.0.1:6379> exit

[root@bogon ~]# redis-cli 			// 连接redis服务器之后再登录
127.0.0.1:6379> auth default redhat
OK

Xinan_____
关注
  • 8
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Redis数据库
qq_60787657的博客
01-28 3390
在Web服务器中,高可用是指服务器可以正常访问的时间。在Redis服务器中,除了需要保证正常服务,还需要考虑数据容量的扩展、数据安全不丢失等等。持久化、复制、哨兵和集群。1.持久化:持久化是最简单的高可用方法(有时甚至不被归为高可用的手段),主要作用是数据备份,即将数据存储 在硬盘,保证数据不会因进程退出而丢失。2.复制:复制是高可用Redis的基础,哨兵和集群都是在复制基础上实现高可用的。复制主要实现了数据的多机备 份,以及对于读操作的负载均衡和简单的故障恢复。缺陷:故障恢复无法自动化;
php redis 切换数据库,Laravel Redis数据库切换以及laravel缓存/Session使用不同的Redis数据库 - Laravel学习网...
weixin_29942159的博客
03-09 1139
Redis Select命令用于切换到指定的数据库,数据库索引号index用数字值指定,以0作为起始索引值。比如我们要使用db10数据库,只需要使用如下命令即可:redis 127.0.0.1:6379> SELECT 10一、Laravel Redis实现数据库的切换1、配置laravel默认使用的redis数据库在laravel中我们其实可以设置默认使用的数据库,默认使用的db0,我们只...
PHP操作Redis数据库常用方法
Charles D
11-12 6087
redis Redis支持的数据类型有 Stirng(字符串), List(列表), Hash(字典), Set(集合), Sorted Set(有序集合); redis版本是Redis 2.6.12 系统是在Windows+Apache2.4+php5.6 连接: //实例化redis $redis = new Redis(); //连接 $redis->connect('127.0.0....
Go操作Redis数据库
qq_43514659的博客
11-11 1万+
Redis数据库介绍 Redis支持诸如字符串(strings)、哈希(hashes)、列表(lists)、集合(sets)、带范围查询的排序集合(sorted sets)、位图(bitmaps)、hyperloglogs。 Redis应用场 缓存系统,减轻主数据库(MySQL)的压力。 计数场景,比如微博、抖音中的关注数和粉丝数。 热门排行榜,需要排序的场景特别适合使用ZSET。 利用LIST可以实现队列的功能。 go-redis库 区别于另一个比较常用的Go语言redis client库:re
php与redis数据库连接,php连接redis范例
weixin_36327582的博客
03-10 848
对于大型网站来说,redis是非常受欢迎的,运用redis缓存之后,网站瞬间可以提速n倍。那么php如何连接redis呢,下面是一个入门的范例代码。$redis = new Redis(); //创建一个对象$redis->connect('127.0.0.1',6379); //连接redis$redis->select(0); //选择数据库(默认16个数据库,0-15,这个值可以...
php redis 指定库,php 联接redis 数据库单利类
weixin_42144201的博客
03-18 553
php 连接redis 数据库单利类class RedisConnect{/*** Redis的ip** @var string*/const REDISHOSTNAME = "127.0.0.1";/*** Redis的port** @var int*/const REDISPORT = 6379;/*** Redis的超时时间** @var int*/const REDISTIMEOUT = ...
Redis 数据库配置与应用
热门推荐
CSDN
11-09 1万+
Redis 是一个由Salvatore Sanfilippo写的key-value存储系统。Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。它通常被称为数据结构服务器,因为值(value)可以是 字符串(String), 哈希(Map), 列表(list), 集合(sets) 和 有序集合(sorted sets)等类型。
Redis缓存数据库
m0_60027772的博客
09-11 3564
redis支持的key-value模式其中key的数据类型为string,value的数据类型可以为string(字符串)、list(链表)、set(集合)、hash(哈希类型)、zset(有序集合)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的;在此基础上,redis也支持各种不同方式的排序redis的数据都是缓存在内存中,其会周期性的把更新的数据写入磁盘或者把修改的操作写入追加的记录文件中并在此基础上实现主从同步。
Redis 数据库(一)—— Redis 数据库介绍、安装及基本操作指令
Jsundoku的博客
06-02 2796
Redis(REmote DIctionary Server) 是一个由Salvatore Sanfilippo用C语言开发的开源的高性能键值对(key-value)数据库,它通常被称为数据结构服务器,因为值(value)可以是 字符串(String), 哈希(Hash), 列表(list), 集合(sets) 和 有序集合(sorted sets)等类型。
你一定想知道的Redis数据库详解
m0_65237356的博客
08-29 996
Redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。
php操作redis数据库常见方法实例总结
12-20
在PHP中操作Redis数据库是常见的数据缓存和存储方式,尤其在处理高并发和高性能的Web应用时。本文将详细讲解如何使用PHP的`php_redis`扩展来与Redis交互,并提供若干实例,涵盖连接、验证、字符串操作以及哈希操作等...
PHP操作Redis数据库常用方法示例
10-18
首先需要安装Redis PHP扩展,然后可以通过实例化Redis类来创建一个Redis对象,并使用这个对象来进行数据库操作。具体操作流程包括连接Redis服务、进行数据操作(如设置或获取字符串值、列表操作等),以及关闭连接。...
php实现redis数据库指定库号迁移的方法
10-24
PHP实现Redis数据库指定库号迁移的方法主要涉及对Redis数据库的操作技巧,包括了解如何使用PHP脚本来迁移指定的Redis数据。下面详细地介绍相关知识点。 Redis数据库迁移通常有几种方式: 1. 使用`redis-cli`的`SAVE...
Linux字符设备驱动 -- regulator子系统
xi_xix_i的博客
09-01 817
Linux驱动之Regulator子系统Linux 内核之电源篇(加载流程)regulator,翻译就是调节器。一些可以输出电流电压的设备可以使用该子系统。举个例子,一个PMIC有多路输出,每一路输出都可以给很多外设、芯片供电。那么每一路输出,我都可以认为他是一个regulator。
Linux【5】远程管理
m0_68339197的博客
09-04 118
shutdown -r 重启。
Linux:vim编辑器的基本使用
2401_86544677的博客
09-04 421
当然,也可以直接删除。vim可以直接用键盘上的光标来上下左右移动,但正规的vim是用小写英文字母「h」、「j」、「k」、「i」,分别控制光标左、下、上、右移一格。」键,再输入您想寻找的字符,如果第一次找的关键字不是您想要的,可以一直 按「n」会往前寻找到您要的关键字为止。「#」:「#」号表示一个数字,在冒号后输入一个数字,再按回车键就会跳到该行了,如输入数字15, 再回车,就会跳到文章的第15行。「/关键字」: 先按「/」键,再输入您想寻找的字符,如果第一次找的关键字不是您想要的,可以一直按。
Linux 进程等待与替换
最新发布
laochendashuaibi的博客
09-04 527
通过的方式,让父进程(一般)对子进程进行资源回收的等待过程如何来理解呢?想象一下,你在一家餐厅里,服务员问你需要什么。如果你选择“阻塞等待”,就像是你坐在餐桌旁,什么都不做,只等着服务员给你上菜。在这期间,你不能做其他任何事情,比如玩手机或者和朋友们聊天,因为你的注意力完全集中在等待上菜上。而“非阻塞等待”则像是你可以告诉服务员,你不需要他们立即上菜。这样,你就可以继续做其他事情,比如和朋友聊天或者玩手机。当你的菜准备好了,服务员会过来告诉你,这时候你再开始吃饭。
Linux---文件(2)---文件描述符&&缓冲区(语言级)
m0_75102051的博客
09-03 567
本文介绍Linux中的文件描述符和语言级缓冲区
实时Linux性能监控脚本:周期性自动统计CPU、内存和IO使用情况
promise524的博客
08-30 1031
Shell脚本实现每3秒钟监控系统的 CPU 占用率、内存使用情况、IO使用情况、每个 CPU 核心的占用率、CPU 占用率最高的前10个进程以及/opt目录的磁盘空间变化。
LinuxRedis服务安全加固
06-07
为了保证LinuxRedis服务的安全性,可以考虑以下几个方面进行加固: 1. 修改Redis默认端口号:默认情况下,Redis使用的端口是6379,这个端口比较容易被攻击者扫描到,因此建议修改默认端口号。 2. 配置Redis密码:Redis可以通过密码保护来防止未经授权的访问。在Redis配置文件中设置requirepass参数,将其设置为一个强密码即可。 3. 配置Redis只允许本地访问:在Redis配置文件中设置bind参数,将其设置为127.0.0.1即可限制只有本地可以访问Redis服务。 4. 禁止Redis命令执行:Redis命令可以让用户在Redis上执行任意的shell命令,这可能会导致严重的安全问题。在Redis配置文件中设置rename-command参数,将需要禁止的命令重命名,如将CONFIG命令重命名为一个随机字符串即可。 5. 配置Redis超时时间:为了防止未经授权的用户长时间占用Redis资源,可以在Redis配置文件中设置timeout参数,将其设置为一个合理的时间,如300秒。 6. 定期备份Redis数据:定期备份可以保证Redis数据不会因为意外情况而丢失。 7. 更新Redis版本:及时更新Redis版本可以避免已知的安全漏洞被攻击者利用。 注意:以上加固措施仅供参考,具体应根据实际情况进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值