Redis-day3.1-ACL安全策略与消息队列

最新推荐文章于 2023-10-24 17:46:13 发布
最新推荐文章于 2023-10-24 17:46:13 发布
阅读量298 收藏
点赞数
分类专栏: # Redis 运维
本文为博主【秋风お亦冷】原创文章,转载请注明出处,否则保留追究法律责任的权利!
本文链接:https://blog.csdn.net/qq_23995091/article/details/116464576
版权
运维 同时被 2 个专栏收录
195 篇文章 3 订阅
订阅专栏
Redis
8 篇文章 1 订阅
订阅专栏

文章目录

ACL安全策略与消息队列

ACL安全策略

1.ACL简介

​ 在 Redis6 之前的版本,我们只能使用 requirepass 参数给 default 用户配置登录密码,同一个 redis 集群的所 有开发都共享 default 用户,难免会出现误操作把别人的 key 删掉或者数据泄露的情况。

​ 因此 Redis6 版本推出了 ACL(Access Controller List)访问控制权限的功能,基于此功能,我们可以设置多个用 户,并且给每个用户单独设置命令权限和数据权限。为了保证向下兼容,Redis6 保留了 default 用户和使用 requirepass 的方式给 default 用户设置密码,默认情况下 default 用户拥有 Redis 最大权限,我们使用 redis-cli 连接 时如果没有指定用户名,用户也是默认 default。

​ 在 redis.conf 和 aclfile 模式中配置 DSL 官方更推荐使用 aclfile,因为如果在 redis,conf 中配置了权限之后需要重启 redis 服务才能将配置的权限加载至 redis 服务中来;

​ 但如果使用 aclfile 模式,可以调用 acl load 命令将 aclfile 中配置的 ACL 权限热加载进环境中,类似于 Mysql 中的 flush privileges。但同时我们也可以使用命令:config rewrite 将 acl 权限初始化到 redis.conf 中,同时执行 acl save 可以将 acl 配置持久化到 aclfile 中。

​ 开启 aclfile 之后不再推荐在 redis.conf 文件中通过 requirepass 配置 default 的密码,因为它不再生效,同时开 启 aclfile 之后也不能使用 redis-cli -a xxx 登陆,必须使用 redis-cli --user xxx --pass yyy 来登陆。在没设置密码的时 候也可以无密码登录

2.配置 ACL

两种配置方式:

1.在 config 文件中直接配置

2.另一种是在外部 aclfile 中配置

配置的命令是一 样的,但是两种方式只能选择其中一种,我们之前使用 requirepass 给 default 用户设置密码 默认就是使用 config 的方式,执行 config rewrite 重写配置后会自动在 config 文件最下面新增一行记录配置 default 的密码和权限。

3.Redis 设置密码

1)通过修改配置文件
  • 在 Redis 6.0 之前,Redis 只有一个 default 用户,也是 Redis 中的超管用户,设置密码的方式如下
# 通过修改配置文件将密码设置为123456
[root@k8s-master1 ~]# vim /usr/local/redis/bin/redis.conf
requirepass 123456

# 修改之后再次进入Redis时,发现已经没有权限操作了,因为只有一个default用户
[root@k8s-master1 ~]#  redis-cli --raw
127.0.0.1:6379> set a b
NOAUTH Authentication required.

# 这个时候我们需要使用密码的方式进入
[root@k8s-master1 ~]# redis-cli -a 123456 --raw
Warning: Using a password with '-a' or '-u' option on the command line interface may
not be safe.
127.0.0.1:6379> set a b
OK
2)通过使用外部 ACL
  • 可以使用原default用户acl这行DSL命令设置用户权限
  • 也可以配置外部aclfile权限(配置前需将配置文件中的DSL注释或删除,因为redis不允许两种方式同时使用)
[root@k8s-master1 ~]# vim /usr/local/redis/bin/redis.conf 

1.注释所有已授权的 ACL 命令,如:
#user default on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92~* +@all

2.注释 default 用户的密码(因为开启 aclfile 之后,requirepass 的密码就失效了)
#requirepass 123456

3.配置 aclfile 的路径,然后创建该文件,否则重启 redis 服务会报错找不到该文件
# aclfile /etc/redis/users.acl
aclfile /usr/local/redis/conf/users.acl

4.通过命令行来创建此空文件即可
mkdir /usr/local/redis/etc
touch /usr/local/redis/etc/users.aclfile

5.重启redis
systemctl restart redis

6.加载权限生效
127.0.0.1:6379> aclfile load

4.创建激活用户

on	# 激活状态
off # 未激活状态

# 创建用户
127.0.0.1:6379> acl setuser Peng
OK
127.0.0.1:6379> acl list
1) "user Peng off -@all"
2) "user default on nopass ~* +@all"

# 激活用户
127.0.0.1:6379> acl setuser Peng on
OK
127.0.0.1:6379> acl list
1) "user Peng on -@all"
2) "user default on nopass ~* +@all"

5.将acl配置写入配置文件

127.0.0.1:6379> config rewrite
OK

# 查看,提交成功(末行)
[root@k8s-master1 ~]# cat /usr/local/redis/bin/redis.conf 
	···
"user default on nopass ~* +@all"

6.给用户增加密码

127.0.0.1:6379> acl setuser Peng >123
OK
127.0.0.1:6379> acl list
1) "user Peng off #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 -@all"
2) "user default on nopass ~* +@all"

7.认证

127.0.0.1:6379> auth default 123
OK
127.0.0.1:6379> acl whoami
"default"

8.将用户设置权限

命令解释
+[ command ]将命令添加到用户可以调用的命令列表中
-[ command ]将命令从用户可以调用的命令列表中移除
+@[ category ]有效类别为@admin,@set, @sortedset 等,可通过调用 ACL CAT 命令查看完整列表
-@[ category ]禁止用户调用[ category ]类别中的所有命令
+[ command ]|subcommand允许使用已禁用命令的特定子命令
allcommands+@all 的别名。包括当前存在的命令以及将来通过模块加载的所有命令。
1)按条件创建用户
  • 创建用户egon,增加:密码为123、设置访问、以 name 开头的 key、set 权限
acl setuser	[username]	# 若用户不存在,则按默认规则创建用户、若用户存在则该命令不做任何操作
# 创建用户
127.0.0.1:6379> acl setuser egon on >123 ~name* +set
OK
127.0.0.1:6379> acl list
1) "user egon on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~name* -@all +set"

# 切换到egon用户
127.0.0.1:6379> auth egon 123
OK
# 查看列表无权限
127.0.0.1:6379> acl list
(error) NOPERM this user has no permissions to run the 'acl' command or its subcommand
127.0.0.1:6379>
2)提权
# 先切换到高权限用户
127.0.0.1:6379> auth Peng 123

# 提权(提权方式追加:+@list、+@ALL等,acl cat查看可加权限)
127.0.0.1:6379> acl setuser egon +@all
OK

# 切回
127.0.0.1:6379> auth egon 123
OK

# 此时已有权限查看列表
127.0.0.1:6379> acl list
1) "user Peng on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~name* +@all"
2) "user default on nopass ~* +@all"
3) "user egon on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~name* +@all"

9.ACL常用命令

# 展示所有的用户
127.0.0.1:6379> acl list
1) "user Peng on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~name* +@all"
2) "user default on nopass ~* +@all"
3) "user egon on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~name* +@all"

# 展示所有的用户
127.0.0.1:6379> acl users
1) "Peng"
2) "default"
3) "egon"

# 展示当前用户
127.0.0.1:6379> acl whoami
"Peng"

# 展示当前可授权限
127.0.0.1:6379> acl cat
 1) "keyspace"
 2) "read"
 3) "write"
 4) "set"
···
21) "scripting"


# 创建用户
127.0.0.1:6379> acl setuser Peng on >123 ~name* +set
OK

# 查看一个用户所有的key
127.0.0.1:6379> acl getuser Peng
1) "flags"
2) 1) "on"
   2) "allcommands"
3) "passwords"
4) 1) "a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3"
5) "commands"
6) "+@all"
7) "keys"
8) 1) "name*"

# 删除一个用户
127.0.0.1:6379> acl deluser egon
(integer) 1

# 保存用户信息
127.0.0.1:6379> acl save
OK

# 加载用户信息
127.0.0.1:6379> acl load
OK

# 将从节点加入主节点(主从)
127.0.0.1:6381> slaveof 127.0.0.1
OK

# 查看主从状态
127.0.0.1:6381> info replication
# Replication
role:slave
master_host:127.0.0.1
master_port:6379
master_link_status:up
master_last_io_seconds_ago:6
master_sync_in_progress:0
slave_repl_offset:1334
slave_priority:100
slave_read_only:1
connected_slaves:0
master_replid:56085d806ab8d1219f1434e9854683758af4d145
master_replid2:0000000000000000000000000000000000000000
master_repl_offset:1334
second_repl_offset:-1
repl_backlog_active:1
repl_backlog_size:1048576
repl_backlog_first_byte_offset:1
repl_backlog_histlen:1334
127.0.0.1:6381>

消息队列

发布与订阅:相当于微信订阅号,订阅号的消息大家都能收到,表示大家都订阅了

Redis 通过 publish(发布)、subscribe(订阅) 等命令实现了订阅与发布模式,此功能提供良两种验证机制:

订阅/发布到频道

订阅/发布到模式

发布者发布信息 --> 通过频道分发给用户 <-- 用户通过频道获取订阅的内容

发布于订阅流程图

订阅发布到频道

登录同一账号

订阅单个频道

订阅多个频道

publish(发布端):发布到多个频道
127.0.0.1:6379> publish test1 "aaa"
(integer) 1
127.0.0.1:6379> publish test2 "bbb"
(integer) 1
127.0.0.1:6379> publish test3 "bbb"

subscribe(订阅端1):订阅多个频道
127.0.0.1:6379> subscribe test1 test2
Reading messages... (press Ctrl-C to quit)
1) "message"
2) "test1"
3) "aaa"
1) "message"
2) "test2"
3) "bbb"

subscribe(订阅端2):订阅单个频道
Reading messages... (press Ctrl-C to quit)
1) "message"
2) "test3"
3) "bbb"

秋风お亦冷
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
远程提交任务yarn_0760-7.0.3-如何使用Cloudera Manager设置使用YARN队列的ACL
weixin_36276359的博客
01-12 578
文档编写目的YARN的队列默认支持ACL的功能,即可以控制哪些用户/组可以提交任务到指定队列,也可以控制哪些用户/组可以管理该队列的作业(删除作业)。通过YARN Queue Manager UI可以界面化配置YARN的资源队列队列权重,队列资源,以及队列的ACL等。本文主要讲述如何在CDP DC 7.0.3集群上使用YARN Queue Manager UI来控制队列的ACL。测试环境:1.R...
redis6新特性ACL(基于外部ACLFILE模式 )
weixin_44320761的博客
03-30 1356
redis6新出特性ACL(access control list 访问控制列表),类似MySQL中的用户授权特性,本篇ACL特性是基于外部aclfile模式,安装过程简单,docker或者编译安装亦可,以下是目前比较稳定的redis6下载地址。 https://download.redis.io/releases/redis-6.2.1.tar.gz
Redis 6.0访问控制列表(ACL)
middleware2018的博客
09-30 1726
来源:redis.io 翻译:Wen Hui 转载:中间件小哥 Redis访问控制列表(ACL),是一项可以实现限制特定客户端连接可执行命令和键访问的功能,它的工作方式是:客户端连接服务器以后,客户端需要提供用户名和密码用于验证身份:如果验证成功,客户端连接会关联特定用户以及用户相应的权限。Redis可以配置新的客户端连接自动使用default用户进行验证(默认选项),因此配置default用户权限 会使没有验证的客户端只能使用一小部分功能。 Redis 6版本(第一个支持ACL的版本)的默认配置
Redis ACL
Asui2233的博客
10-24 102
Redis ACL(Access Control List)是用于管理 Redis 数据库访问权限的功能,它在 Redis 6.0 版本中引入。
【Redis】Redis配置文件详解(很全)
qq_19007335的博客
05-20 8251
文章目录Redis配置文件UnitsNetwork 网络相关GENERAL 通用配置SNAPSHOTTING 快照相关SECURITY 安全相关CLIENTS 客户端配置MEMORY MANAGEMENT 内存管理LAZY FREEING 懒惰删除THREADED I/OKERNEL OOM CONTROL 设置OOM时终止哪些进程APPEND ONLY MODE AOF持久化配置LUA SCRIPTING-LUA脚本相关REDIS CLUSTER 集群配置CLUSTER DOCKER/NAT suppor
Redis——安全配置和权限控制
FlyLikeButterfly的博客
06-17 4303
redis权限设置,ACL相关;
redis++使用说明,windows下编译redis-plus-plus
06-13
"Redis++使用说明,windows下编译Redis-Plus-Plus" 在这篇文章中,我们将详细介绍如何在Windows平台下编译Redis++,包括编译hiredis.lib和Win32_Interop.lib静态库文件的过程,然后安装Cmake并编译Redis++,最后...
Redis-x64-5.0.14.msi和Redis-x64-5.0.14.zip
12-20
解压后,你可以找到包括`redis-server.exe`、`redis-cli.exe`等在内的可执行文件,以及配置文件`redis.conf`。这种方式适合于需要自定义配置或手动管理服务的用户。通过编辑`redis.conf`,你可以调整Redis的各项参数...
redis-windows-7.2.5.zip
最新发布
05-20
在Windows环境下安装Redis,可以借助于提供的压缩包"redis-windows-7.2.5.zip"进行。以下是关于Redis及其在Windows上的安装和使用的详细知识: 1. **Redis特性** - **键值对存储**:Redis的核心是键值对模型,其中...
redis-windows-7.2.4.zip
01-14
- 使用`redis-cli.exe`客户端工具与Redis服务器交互,执行命令。 3. **Redis命令**: - `SET key value`:设置键值对。 - `GET key`:获取键的值。 - `DEL key`:删除键。 - `EXPIRE key seconds`:为键设置...
Redis-x64-5.0.14.1
03-01
- 使用`redis-check-aof.exe`和`redis-check-rdb.exe`定期检查数据文件的完整性,确保数据安全。 5. **注意事项**: - Windows版本的Redis可能不如Linux稳定,因此生产环境中通常建议在Linux上部署Redis。 - ...
Redis配置文件
m0_56808407的博客
11-10 1746
redis配置属性详解
Redis 6.0 权限控制命令 ACLs 详解
商亮的技术手册
05-31 9636
目录 1. 前言 2. 什么是 ACL 2. 什么时候使用 ACLs 3.ACL 规则 启动或禁用用户 启用或禁用命令 允许或禁止访问某些 KEY 为用户配置有效密码 4. ACL 常用命令 ACL LIST ACL SETUSER ACL GETUSER ACL DELUSER ACL USERS ACL WHOAMI ACL CAT ACL SAVE ACL LOAD ACL GENPASS ACL LOG ACL HELP 1. 前言 在使用 Redi.
Redis系列(十一)、Redis6新特性之ACL安全策略(用户权限管理)
王义凯 的博客
06-17 1万+
消息!好消息!Redis出权限管理功能了!你还不来看看吗? 自从Redis6.0以来,大家呼吁了很久的权限管理功能(ACL[access control list 访问控制列表])终于发布了,通过此功能,我们可以设置不同的用户并对他们授权命令或数据权限。这样我们可以避免有些用户的误操作导致数据丢失或避免数据泄露的安全风险。
RocketMQ acl
weixin_40455124的博客
06-27 1830
ACL是rocketmq 用于client与broker的认证及权限机制,目前namesrv还不支撑,总结如下: 核心代码都在project rocketmq-acl中 主要参考参考指引https://github.com/apache/rocketmq/blob/master/docs/cn/acl/user_guide.md broker的配置默认在rocket-home下的/conf/pl...
Linux ACL
weixin_34275734的博客
12-24 178
为什么80%的码农都做不了架构师?>>> ...
RocketMQ ACL使用指南
中间件兴趣圈
06-30 2万+
详细介绍RocketMQ acl访问控制列表的流程图、plain_acl.yml文件各配置项的详细介绍、权限匹配验证流程与acl使用示例。
常用6种消息队列介绍和对比
热门推荐
易雪寒的博客
02-17 2万+
消息队列是分布式应用间交换信息的重要组件,消息队列可驻留在内存或磁盘上, 队列可以存储消息直到它们被应用程序读走。 通过消息队列,应用程序可以在不知道彼此位置的情况下独立处理消息,或者在处理消息前不需要等待接收此消息。 所以消息队列可以解决应用解耦、异步消息、流量削锋等问题,是实现高性能、高可用、可伸缩和最终一致性架构中不可以或缺的一环。 现在比较常见的消息队列产品主要有ActiveMQ、R...
Redis-4.0.11集群部署与配置详解
Redis-4.0.11集群配置指南提供了详细的步骤和指导,适用于不同版本的Redis(如3.0.5、3.2.0、3.2.9和4.0.11),帮助用户理解和部署Redis集群。以下是主要内容的概要: 1. **前言**:介绍集群部署的重要性,以及集群...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋风お亦冷

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值