Redis RU330课程 Redis Security 第2周学习笔记

最新推荐文章于 2024-06-26 17:26:19 发布
最新推荐文章于 2024-06-26 17:26:19 发布
阅读量658 收藏
点赞数
分类专栏: Redis 文章标签: Redis University RU330 Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stevensxiao/article/details/113246184
版权

Introduction and Principle of Least Privilege

Overview and Principle of Least Privilege

Jerome Saltzer,美国计算机科学家。

Least privilege: Every program and every user of the system should operate using the least set of privileges necessary to complete the job

最小权限保证了被攻破时影响最小。

Redis Horror Story #2

ransom:赎金
https://duo.com/decipher/over-18000-redis-instances-targeted-by-fake-ransomware
教训:

  • 启用认证或ACL
  • 不用特权用户(root或具有sudo权限的用户)运行Redis
  • 最小权限原则

一些危险的命令如CONFIG,在企业版已完全禁用。

Access Control Lists

ACL命令属于server类:

127.0.0.1:6379> help @server

  ACL CAT [categoryname]
  summary: List the ACL categories or the commands inside a category
  since: 6.0.0

  ACL DELUSER username [username ...]
  summary: Remove the specified ACL users and the associated rules
  since: 6.0.0

  ACL GENPASS [bits]
  summary: Generate a pseudorandom secure password to use for ACL users
  since: 6.0.0

  ACL GETUSER username
  summary: Get the rules for a specific ACL user
  since: 6.0.0

  ACL HELP -
  summary: Show helpful text about the different subcommands
  since: 6.0.0

  ACL LIST -
  summary: List the current ACL rules in ACL config file format
  since: 6.0.0

  ACL LOAD -
  summary: Reload the ACLs from the configured ACL file
  since: 6.0.0

  ACL LOG [count or RESET]
  summary: List latest events denied because of ACLs in place
  since: 6.0.0

  ACL SAVE -
  summary: Save the current ACL rules in the configured ACL file
  since: 6.0.0

  ACL SETUSER username [rule [rule ...]]
  summary: Modify or create the rules for a specific ACL user
  since: 6.0.0

  ACL USERS -
  summary: List the username of all the configured ACL rules
  since: 6.0.0

  ACL WHOAMI -
  summary: Return the name of the user associated to the current connection
  since: 6.0.0

  BGREWRITEAOF -
  summary: Asynchronously rewrite the append-only file
  since: 1.0.0

  BGSAVE [SCHEDULE]
  summary: Asynchronously save the dataset to disk
  since: 1.0.0

  COMMAND -
  summary: Get array of Redis command details
  since: 2.8.13

  COMMAND COUNT -
  summary: Get total number of Redis commands
  since: 2.8.13

  COMMAND GETKEYS -
  summary: Extract keys given a full Redis command
  since: 2.8.13

  COMMAND INFO command-name [command-name ...]
  summary: Get array of specific Redis command details
  since: 2.8.13

  CONFIG GET parameter
  summary: Get the value of a configuration parameter
  since: 2.0.0

  CONFIG RESETSTAT -
  summary: Reset the stats returned by INFO
  since: 2.0.0

  CONFIG REWRITE -
  summary: Rewrite the configuration file with the in memory configuration
  since: 2.8.0

  CONFIG SET parameter value
  summary: Set a configuration parameter to the given value
  since: 2.0.0

  DBSIZE -
  summary: Return the number of keys in the selected database
  since: 1.0.0

  DEBUG OBJECT key
  summary: Get debugging information about a key
  since: 1.0.0

  DEBUG SEGFAULT -
  summary: Make the server crash
  since: 1.0.0

  FLUSHALL [ASYNC]
  summary: Remove all keys from all databases
  since: 1.0.0

  FLUSHDB [ASYNC]
  summary: Remove all keys from the current database
  since: 1.0.0

  INFO [section]
  summary: Get information and statistics about the server
  since: 1.0.0

  LASTSAVE -
  summary: Get the UNIX time stamp of the last successful save to disk
  since: 1.0.0

  LATENCY DOCTOR -
  summary: Return a human readable latency analysis report.
  since: 2.8.13

  LATENCY GRAPH event
  summary: Return a latency graph for the event.
  since: 2.8.13

  LATENCY HELP -
  summary: Show helpful text about the different subcommands.
  since: 2.8.13

  LATENCY HISTORY event
  summary: Return timestamp-latency samples for the event.
  since: 2.8.13

  LATENCY LATEST -
  summary: Return the latest latency samples for all events.
  since: 2.8.13

  LATENCY RESET [event [event ...]]
  summary: Reset latency data for one or more events.
  since: 2.8.13

  LOLWUT [VERSION version]
  summary: Display some computer art and the Redis version
  since: 5.0.0

  MEMORY DOCTOR -
  summary: Outputs memory problems report
  since: 4.0.0

  MEMORY HELP -
  summary: Show helpful text about the different subcommands
  since: 4.0.0

  MEMORY MALLOC-STATS -
  summary: Show allocator internal stats
  since: 4.0.0

  MEMORY PURGE -
  summary: Ask the allocator to release memory
  since: 4.0.0

  MEMORY STATS -
  summary: Show memory usage details
  since: 4.0.0

  MEMORY USAGE key [SAMPLES count]
  summary: Estimate the memory usage of a key
  since: 4.0.0

  MODULE LIST -
  summary: List all modules loaded by the server
  since: 4.0.0

  MODULE LOAD path [arg]
  summary: Load a module
  since: 4.0.0

  MODULE UNLOAD name
  summary: Unload a module
  since: 4.0.0

  MONITOR -
  summary: Listen for all requests received by the server in real time
  since: 1.0.0

  PSYNC replicationid offset
  summary: Internal command used for replication
  since: 2.8.0

  REPLICAOF host port
  summary: Make the server a replica of another instance, or promote it as master.
  since: 5.0.0

  ROLE -
  summary: Return the role of the instance in the context of replication
  since: 2.8.12

  SAVE -
  summary: Synchronously save the dataset to disk
  since: 1.0.0

  SHUTDOWN [NOSAVE|SAVE]
  summary: Synchronously save the dataset to disk and then shut down the server
  since: 1.0.0

  SLAVEOF host port
  summary: Make the server a replica of another instance, or promote it as master. Deprecated starting with Redis 5. Use REPLICAOF instead.
  since: 1.0.0

  SLOWLOG subcommand [argument]
  summary: Manages the Redis slow queries log
  since: 2.2.12

  SWAPDB index1 index2
  summary: Swaps two Redis databases
  since: 4.0.0

  SYNC -
  summary: Internal command used for replication
  since: 1.0.0

  TIME -
  summary: Return the current server time
  since: 2.6.0

ACL Concepts

Redis 6.0以后支持ACL,即允许多个用户,可以按用户赋权。

ACL的好处:

  • 限制命令和key
  • 攻破时限制影响

用户可以分配角色,例如Pub/Sub模型中的只读角色和读写角色。
基于角色的控制(RBAC)只有Redis企业版支持。

Practical ACLs with Redis

ACL commands at Redis.io

ACL documentation at Redis.io

首先创建管理员用户:

acl setuser adm01 on >Welcome1 +@admin

然后以管理员用户登录:

127.0.0.1:6379> auth adm01 Welcome1
OK
127.0.0.1:6379> config get *
  1) "rdbchecksum"
  2) "yes"
  3) "daemonize"
  4) "no"
  ...
127.0.0.1:6379> acl list
1) "user adm01 on #7e19e31ae82d749034fc921f777f717ba5b57c6add9add889eb536ac6effcde0 -@all +@admin"
2) "user default on #1b58ee375b42e41f0e48ef2ff27d10a5b1f6924a9acdcdba7cae868e7adce6bf ~* +@all"

创建管理员用户后,按最小权限原则,就可以禁止default用户。

acl setuser default off

然后创建开发用户。

acl setuser dev01 on >Welcome1 allcommands -@dangerous +acl|whoami allkeys

然后用开发者dev01登录,>后跟的是口令:

127.0.0.1:6379> auth dev01 Welcome1
OK
127.0.0.1:6379> acl whoami
"dev01"
127.0.0.1:6379> acl list
(error) NOPERM this user has no permissions to run the 'acl' command or its subcommand

127.0.0.1:6379> keys *
(error) NOPERM this user has no permissions to run the 'keys' command or its subcommand
127.0.0.1:6379> config get *
(error) NOPERM this user has no permissions to run the 'config' command or its subcommand
127.0.0.1:6379> set foo bar
OK
127.0.0.1:6379> get foo
"bar"

查看属于危险类的命令:

127.0.0.1:6379> acl cat dangerous
 1) "role"
 2) "acl"
 3) "swapdb"
 4) "psync"
 5) "debug"
 6) "pfdebug"
 7) "slowlog"
 8) "restore"
 9) "bgrewriteaof"
10) "keys"
11) "bgsave"
12) "latency"
13) "slaveof"
14) "info"
15) "sort"
16) "flushall"
17) "client"
18) "flushdb"
19) "save"
20) "pfselftest"
21) "cluster"
22) "config"
23) "module"
24) "replconf"
25) "lastsave"
26) "migrate"
27) "shutdown"
28) "replicaof"
29) "restore-asking"
30) "monitor"
31) "sync"

查看ACL命令的分类:

127.0.0.1:6379> acl cat
 1) "keyspace"
 2) "read"
 3) "write"
 4) "set"
 5) "sortedset"
 6) "list"
 7) "hash"
 8) "string"
 9) "bitmap"
10) "hyperloglog"
11) "geo"
12) "stream"
13) "pubsub"
14) "admin"
15) "fast"
16) "slow"
17) "blocking"
18) "dangerous"
19) "connection"
20) "transaction"
21) "scripting"

最后,创建应用用户。

acl setuser app01 on >Welcome1 +set +get ~cache:*

然后以应用用户登录:

127.0.0.1:6379> auth app01 Welcome1
OK
127.0.0.1:6379> set data:123 hello
(error) NOPERM this user has no permissions to access one of the keys used as arguments
127.0.0.1:6379> set cache:123 hello
OK
127.0.0.1:6379> get cache:123
"hello"

Administering Redis ACLs

可以将用户定义在ACL文件中,当然此时不能同时定义user:

$ cat redis.conf |grep ^aclfile
aclfile /home/vagrant/redis-stable/users.acl

# user default on >foobared allcommands allkeys

ACL文件内容:

$ cat users.acl
user default off
user adm01 on #7e19e31ae82d749034fc921f777f717ba5b57c6add9add889eb536ac6effcde0 +@admin
user dev01 on #7e19e31ae82d749034fc921f777f717ba5b57c6add9add889eb536ac6effcde0 allcommands -@dangerous +acl|whoami allkeys
user app01 on #7e19e31ae82d749034fc921f777f717ba5b57c6add9add889eb536ac6effcde0 +set +get ~cache:*

其中#后跟的是口令,使用sha256sum生成的:

$ echo -n 'Welcome1'|sha256sum
7e19e31ae82d749034fc921f777f717ba5b57c6add9add889eb536ac6effcde0  -

启用ACL后,一些系统参数需改变,如openfiles等。方法参加这里

新建的用户也会存放在ACL文件中:

$ redis-cli
127.0.0.1:6379> auth adm01 Welcome1
OK
127.0.0.1:6379> acl setuser user01 on >Welcome1 +@admin
OK
127.0.0.1:6379> acl list
1) "user adm01 on #7e19e31ae82d749034fc921f777f717ba5b57c6add9add889eb536ac6effcde0 -@all +@admin"
2) "user app01 on #7e19e31ae82d749034fc921f777f717ba5b57c6add9add889eb536ac6effcde0 ~cache:* -@all +set +get"
3) "user default off -@all"
4) "user dev01 on #7e19e31ae82d749034fc921f777f717ba5b57c6add9add889eb536ac6effcde0 ~* +@all -@dangerous +acl|whoami"
5) "user user01 on #7e19e31ae82d749034fc921f777f717ba5b57c6add9add889eb536ac6effcde0 -@all +@admin"
127.0.0.1:6379> acl save
OK
127.0.0.1:6379> acl save
OK
127.0.0.1:6379> exit
[vagrant@ol7-vagrant redis-stable]$ cat users.acl
user adm01 on #7e19e31ae82d749034fc921f777f717ba5b57c6add9add889eb536ac6effcde0 -@all +@admin
user app01 on #7e19e31ae82d749034fc921f777f717ba5b57c6add9add889eb536ac6effcde0 ~cache:* -@all +set +get
user default off -@all
user dev01 on #7e19e31ae82d749034fc921f777f717ba5b57c6add9add889eb536ac6effcde0 ~* +@all -@dangerous +acl|whoami
user user01 on #7e19e31ae82d749034fc921f777f717ba5b57c6add9add889eb536ac6effcde0 -@all +@admin

ACL LOAD可以将ACL文件加载到生产系统的Redis中。

Security Tip #2: Dangerous Commands

危险命令分为3类:

  • 管理命令造成安全风险,如CONFIG,LASTSAVE
  • 影响性能,如KEYS
  • 影响可用性,如FLUSHDB,FLUSHALL,SHUTDOWN

Security Tip #3: Redis Logging

和安全相关的log包括ACL log和Redis Server Log。
ACL Log会记录所有失败的ACL尝试,包括认证,命令执行和Key访问。ACL Log存于内存,默认128条。ACL LOG可以显示日志。

Redis Log File中的信息对于调试和故障诊断很有用,在redis.conf中可配置4种日志级别:

  • WARNING
  • NOTICE
  • VERBOSE
  • DEBUG

也可以将日志发送到远端syslog服务器,详见syslog-enabled, syslog-ident 和 syslog-facility参数。

An Attacker’s Perspective

hit the jackpot:中头彩

有两类攻击者,先来看窃取型:

# 大致了解key
SCAN 0 COUNT 5
# 详细查看key
KEYS *
# 监控所有命令
MONITOR 
# 查看key类型
TYPE <keyname>
# 利用相应类型命令查看数据
HGETALL <keyname>
# 建立用户以便后续登录
ACL SETUSER appuser on >password +@all ~*

再来看破坏型:

# 将数据迁移到另一Redis
MIGRATE ...
# 删除数据
FLUSHALL
dingdingfish
关注
专栏目录
笔记,后期整理
weixin_30278237的博客
08-06 8281
VM 虚拟各种系统的工具 安装目录 不要放在C盘 需要下载的镜像Windows NT win7 xp server08R2 server12类Nnix centos 6/7/8 ubuntu 14/16/18 kali安装 win7 1g=1024M1M=1024KB1KB=1024bit1bit 是一个字节 一个字节就是8位由0或者1组成(二进制) 10 进制0-9组成的数字...
人类高质量 Java 学习路线【一条龙版】
Feng_clay的博客
12-04 1601
大家好,我是张讨嫌。现在网上的编程资料实在太多了,而且人人肯定都说自己的最好,那就导致大家又不知道怎么选了。大部分的博主推荐资源,也就是把播放量高的视频说一遍,水一期视频,没有一条很清晰的学习路线。 所以今天我的这个 Java 学习路线就做做减法,给大家来个一条龙服务,Java 要学的知识点、对应的最佳学习资源和预计要花费的时间,都安排的明明白白的,不用选了,有计划了,也别再迷茫和纠结了,就无脑跟着学就行了。 我还在文档中整理了链接,也不用自己搜了,还有思维导图。 大纲 实在太长了,没办法全部展开,
Redis 6.0访问控制列表(ACL)
middleware2018的博客
09-30 1809
来源:redis.io 翻译:Wen Hui 转载:中间件小哥 Redis访问控制列表(ACL),是一项可以实现限制特定客户端连接可执行命令和键访问的功能,它的工作方式是:客户端连接服务器以后,客户端需要提供用户名和密码用于验证身份:如果验证成功,客户端连接会关联特定用户以及用户相应的权限。Redis可以配置新的客户端连接自动使用default用户进行验证(默认选项),因此配置default用户权限 会使没有验证的客户端只能使用一小部分功能。 Redis 6版本(第一个支持ACL的版本)的默认配置
关于项目启动NOPERM this user has no permissions to run the config SET command报错问题排查
weixin_38682092的博客
08-17 1475
最近项目整体迁移到百度云,其中redis也是直接用的百度云的提供云服务,项目中有用到redis,之前本地环境项目启动都是ok,但是迁移到百度云后,启动项目,就报NOPERM this user has no permissions to run the config SET command,这个错误意思就是用户没有对config set 这个命令有操作权限,百度云用的是redis6.0,redis6.0是提供了更为细致的权限控制粒度,不仅支持用户名,密码,还有命令。
Redis 7.0 报错 this user has no permissions to run the ‘config|get‘ command
最新发布
feiyuers的博客
06-26 924
项目中spring boot使用的是2.7,适配的redisson最高可以升级到3.18(项目中为3.17.6),这个版本均没有适配redis7.0,无解。根据反馈降低redis版本和之前使用的就是redis5.0可知,降低版本是可以解决问题的。
Redis12】Redis基础:ACL与GEO命令
硬核项目经理
04-13 745
Redis基础学习:ACL与GEO命令标题说的可能不太清楚,ACL 是权限控制,GEO 是地理位置信息。是不是感觉高大上又很好玩?ACL 是新东西,Redis6 之后才出来的,而 GEO 相关的功能就比较早了,Redis3.2 版本的时候就已经有了。那么我们就一个一个的来看看吧。ACLACL 的全称是 Access Control List ,也就是 访问控制列表 的意思,在权限这块还有 RBAC...
Redis 6.0 权限控制命令 ACLs 详解
商亮的技术手册
05-31 9921
目录 1. 前言 2. 什么是 ACL 2. 什么时候使用 ACLs 3.ACL 规则 启动或禁用用户 启用或禁用命令 允许或禁止访问某些 KEY 为用户配置有效密码 4. ACL 常用命令 ACL LIST ACL SETUSER ACL GETUSER ACL DELUSER ACL USERS ACL WHOAMI ACL CAT ACL SAVE ACL LOAD ACL GENPASS ACL LOG ACL HELP 1. 前言 在使用 Redi.
网络安全之路:我的系统性渗透测试学习框架
03-19 1651
没有兴趣,何来成就,难道就只是为了咕噜猫?hahaha(听不懂吧,没关系,只是因为加密了,你能从我的笔记中找到答案么嘿嘿嘿嘿!!!) 注意:以下内容仅记录本人当时学习时任然不知的相关知识。笔记草率,可能有错,仅供参考。我会慢慢完善的哦! 写在前面: 1.业界比较好的信息安全网站: freebuff:这个看来你已经找到了 secWiKi:ennnnn 安全客:收集了各大SRC哦,如果你哪一天灵感大发发现一个漏洞或者业务逻辑Bug,赶快去提交吧,也可以去补天,漏洞盒子提交哦!还有众测平台哈哈哈。还有
【大总结2】大学两年,写了这篇几十万字的干货总结_万字 cndn
2401_84617533的博客
04-27 828
这部分在我看来是最有意思的,我们有必要了解底层数据结构的实现,这也是我最感兴趣的。比如,你知道redis中的字符串怎么实现的吗?为什么这么实现?你知道redis压缩列表是什么算法吗?你知道redis为什么抛弃了红黑树反而采用了跳表这种新的数据结构吗?你知道hyperloglog为什么用如此小的空间就可以有这么好的统计性能和准确性吗?你知道布隆过滤器为什么这么有效吗?有没有数学证明过?你是否还能很快写出来快排?或者不断优化性能的排序?是不是只会调库了甚至库函数怎么实现的都不知道?真的就是快排?
219-6-3Google浏览器书签备份
qq_43046057的博客
06-03 3551
WAF 创建时间 2019-03-11 12:45:27 最后修改 2019-04-03 14:02:50>> 书签名称 链接 添加时间 WEB漏洞测试(二)——HTML注入 & XSS攻击 - CSDN博客 http://www.secsky.cn/216.html 2018-05-15 10:45:24 ModSecurity介绍 - CSDN博客...
机械师f57d1黑苹果efi
10-13
1.三卡驱动(声卡、inter无线网卡、核显) 2.电池驱动(原生,只需要 ACPIBatteryManager) 3.原生电源管理(安装加入 KernelAndKextsToPatch-KernelXCPM 防止 kp 之后就自动加载) 4.睡眠完美 5.USB 3 最大速度 5Gb/s 6.可以登录 iMessage 和 FaceTime
FEAF架构规划方法.ppt
10-12
FEAF是自Clinger-Cohen法案颁布之后出现的第一个专门用于构建政府企业架构的框架理论,是一种架构规划方法。内容包括: 目的 架构建模方法总论 业务架构建模方法 数据架构建模方法 应用架构建模方法 技术架构设计方法
laravel权限管理permission
阳水平的博客
04-24 6954
用这个包: https://github.com/spatie/laravel-permission 中文翻译: https://laravel-china.org/topics/8018/extension-recommendation-role-and-authority-control-in-spatielaravel-permission-laravel-applications ...
redis 用户权限管理
fanghailiang2016的博客
11-29 2284
redis6 可以使用acl命令创建用户分配权限,还可以支持操作key的范围
Redis Cluster 7.0 用户管理与ACLs权限控制
楼上别吵了,我想睡觉
02-08 1898
在内部,首先检查根权限,然后按照添加的顺序检查选择器。例如:某个用户的ACL规则设置为+GET ~key1 (+SET ~key2),那么该用户可以执行。
Error in execution; nested exception is io.lettuce.core.RedisCommandExecutionException: NOAUTH Authe
热门推荐
m0_37824232的博客
09-08 1万+
springboot报错Error in execution; nested exception is io.lettuce.core.RedisCommandExecutionException: NOAUTH Authentication required.
漫话Redis源码之四十二
认知 行动 坚持
01-02 388
这里的代码主要是服务端相关的,处理来自客户端的一些请求。
17、Redis6.0新功能
希望有点用
12-11 456
Redis6.0新功能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值