Redis ACL安全策略详解

已于 2023-11-03 15:00:41 修改
阅读量708 收藏
点赞数
分类专栏: Redis 文章标签: redis bootstrap 数据库
于 2023-11-03 14:57:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzhongcy/article/details/134201849
版权

一,redis新特性ACL安全策略介绍

        在 Redis6 之前的版本,我们只能使用 requirepass 参数给 default 用户配置登录密码,同一个 redis 集群的所有开发都共享 default 用户,难免会出现误操作把别人的 key 删掉或者数据泄露的情况。

        因此 Redis6 版本推出了 ACL(Access Controller List)访问控制权限的功能,基于此功能,我们可以设置多个用户,并且给每个用户单独设置命令权限和数据权限。

        为了保证向下兼容,Redis6 保留了 default 用户和使用requirepass 的方式给 default 用户设置密码,默认情况下 default 用户拥有 Redis 最大权限,我们使用 redis-cli连接时如果没有指定用户名,用户也是默认 default。

1.1 配置ACL

        配置 ACL 的方式有两种:一种是在 config 文件中直接配置,另一种是在外部 aclfile 中配置。

        配置的命令是一样的,但是两种方式只能选择其中一种,我们之前使用 requirepass 给 default 用户设置密码。

        默认就是使用config 的方式,执行 config rewrite 重写配置后会自动在 config 文件最下面新增一行记录配置 default 的密码和权限

1.2 redis设置密码

        在 Redis 6.0 之前,Redis 只有一个 default 用户也是 Redis 中的超级管理员用户,如果要将其设置密码,需要修改 Redis 配置文件,具体设置密码修改如下

requirepass 123456

修改之后,再次进入 Redis 时,发现已经没有权限操作了。

[root@alvin-test-os redis]# redis-cli --raw
127.0.0.1:6379> set a b
NOAUTH Authentication required

这个时候我们需要使用密码的方式进入

[root@alvin-test-os redis]# redis-cli -a 123456 --raw
Warning: Using a password with '-a' or '-u' option on the command line interface may
not be safe.
127.0.0.1:6379> set a b
OK

1.3 使用ACL

        我们可以直接在 config 配置文件中使用上面 default 用户 ACL 这行 DSL 命令设置用户权限,或者我们也可以配置外部 aclfile 配置权限。

        配置 aclfile 需要先将 config 中配置的 DSL 注释或删除,因为 Redis 不允许两种ACL 管理方式同时使用,否则在启动 redis 的时候会报下面的错误

# Configuring Redis with users defined in redis.conf and at the same setting an ACL
file path is invalid. This setup is very likely to lead to configuration errors and
security holes, please define either an ACL file or declare users directly in your
redis.conf, but not both
 

二,使用外部ACL FILE模式

使用外部 aclfile 文件配置 Default 和其他用户的 ACL 权限

1.注释 redis.conf 中所有已授权的 ACL 命令,

如:
#user default on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~* +@all

2.在 config 文件中注释 default 用户的密码,

因为开启 aclfile 之后,requirepass 的密码就失效了:redis.conf
#requirepass 123456

3.在 config 文件中配置 aclfile 的路径,

然后创建该文件,否则重启 redis 服务会报错找不到该文件
aclfile /usr/local/redis/etc/users.acl
touch /usr/local/redis/etc/users.acl

5.重启 redis 服务或使用 aclfile load 命令加载权限
systemctl restart redis

在 redis 命令行中执行:
aclfile load

注意:

  1. 开启 acl file 之后不再推荐在 redis.conf 文件中通过 requirepass 配置 default 的密码,因为它不再生效。
  2. 同时开启 aclfile 之后也不能使用 redis-cli -a xxx 登陆,必须使用 redis-cli --user xxx --pass yyy 来登陆。在没设置密码的时候也可以无密码登录

# 这个时候显示的是无密码状态

127.0.0.1:6379> acl list
1) "user default on nopass ~* +@all"

        在 redis.conf 和 aclfile 模式中配置 DSL 官方更推荐使用 acl file,因为如果在 redis.conf 中配置了权限之后需要重启 redis 服务才能将配置的权限加载至 redis 服务中来,但如果使用 aclfile 模式,可以调用 acl load 命令将 aclfile 中配置的 ACL 权限热加载进环境中,类似于 Mysql 中的 flush privileges。

        但同时我们也可以使用命令:config rewrite 将 acl 权限初始化到 redis.conf 中;同时执行 acl save 可以将 acl 配置持久化到 aclfile 中。

6.例子:

我们添加一个hsslive用户,设置密码为123456,然后acl list查看:

127.0.0.1:6379> acl setuser hsslive on >123456 ~* +@all
OK
127.0.0.1:6379> acl list
[
    "user default on nopass ~* &* +@all",
    "user hsslive on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~* resetchannels +@all"
]
127.0.0.1:6379>

将acl list的数据复制下来即可

users.acl

user default on nopass ~* &* +@all
user hsslive on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~* resetchannels +@all

然后在redis的启动配置文件使用aclfile:

aclfile /etc/redis/users.acl

2.1 ACL规则

        ACL 是使用 DSL(Domain specific language)定义的,该 DSL 描述了用户能够执行的操作。该规则始终从上到下,从左到右应用,因为规则的顺序对于理解用户的实际权限很重要。

        ACL 规则可以在 redis.conf 文件以及 users.acl 文件中配置 DSL,也可以在命令行中通过 ACL 命令配置

2.2 ACL启用和禁用

  • on:启用用户:可以以该用户身份进行认证。
  • off:禁用用户:不再可以使用此用户进行身份验证,但是已经通过身份验证的连接仍然可以使用

# 创建一个用户, 默认情况下是非活跃状态
127.0.0.1:6379> ACL SETUSER xiaozhang
OK

# 查看用户
127.0.0.1:6379> acl list
user alvin off #6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090
-@all
user default on nopass ~* +@all
user xiaozhang off -@all

# 将用户设置成活跃状态
127.0.0.1:6379> ACL SETUSER xiaozhang on
OK

# 再次查看用户列表,发现小张已经变成了活跃状态
127.0.0.1:6379> acl list
user alvin off #6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090
-@all
user default on nopass ~* +@all
user xiaozhang on -@all
 

三 ,允许和禁止调用命令 

命令解释
+command将命令添加到用户可以调用的命令列表中。
- command将命令从用户可以调用的命令列表中移除。
+@category允许用户调用 类别中的所有命令,有效类别为@admin,@set,@sortedset 等,可通过调用 ACL CAT 命令查看完整列表。特殊类别@all 表示所有命令,包括当前和未来版本中存在的所有命令。
-@禁止用户调用 类别中的所有命令。
+subcommand
allcommands+@all 的别名。包括当前存在的命令以及将来通过模块加载的所有命令。
nocommands-@all 的别名,禁止调用所有命令。

 
# 将 xiaozhang 用户增加密码、设置访问以 name 开头的 key 的权限和 set 权限
127.0.0.1:6379> ACL SETUSER xiaozhang on >abc123 ~name* +set
OK

# 我们可以看到 xiaozhang 目前只具有 set 权限
127.0.0.1:6379> acl list
user xiaozhang on #6ca13d52ca70c883e0...392593af6a84118090 ~name* -@all +set

# 切换用户
127.0.0.1:6379> AUTH xiaozhang abc123
OK

# 设置键值对
127.0.0.1:6379> set name xiaozhang
OK

# 没有获取权限
127.0.0.1:6379> get name
NOPERM this user has no permissions to run the 'get' command or its subcommand


四,允许和禁止访问某些key

命令解释
~添加可以在命令中提及的键模式。例如~和 allkeys 允许所有键。
* resetkeys

使用当前模式覆盖所有允许的模式。

如: ~foo:* ~bar:* resetkeys ~objects:* ,客户端只能访问匹配 object:* 模式的 KEY。

# 将 xiaozhang 用户增加密码、设置访问以 name 开头的 key 的权限和 set 权限
127.0.0.1:6379> ACL SETUSER xiaozhang on >abc123 ~name* +set
OK

五,密码配置

# 查看用户列表
127.0.0.1:6379> acl list
user alvin off -@all
user default on nopass ~* +@all

# 将 alvin 用户设置密码
127.0.0.1:6379> ACL SETUSER alvin on >abc123
OK
127.0.0.1:6379> acl list
user alvin on #6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090
-@all
user default on nopass ~* +@all

# 切换用户
127.0.0.1:6379> auth alvin abc123
OK

# alvin 没有 set 权限
127.0.0.1:6379> set aaa bbb
NOPERM this user has no permissions to run the 'set' command or its subcommand

六,ACL常用操作

6.1 ACL list 返回所有用户

我们可以使用 ACL LIST 命令来查看当前活动的 ACL,默认情况下,有一个“default”户。

127.0.0.1:6379> ACL list
1) "user default on nopass ~* +@all"
127.0.0.1:6379>

        其中 user 为关键词,default 为用户名,后面的内容为 ACL 规则描述,on 表示活跃的,nopass 表示无密码,~* 表示所有 key,+@all 表示所有命令。所以上面的命令表示活跃用户 default 无密码且可以访问所有命令以及所有数据。

6.2 ACL USER 返回所有用户名

127.0.0.1:6379> acl users
1) "default"
127.0.0.1:6379>

6.3 ACL WHOAMI 返回当前用户名

127.0.0.1:6379> ACL WHOAMI
"default"

6.4 ACL CAT  查看命令类型,用于授权

127.0.0.1:6379> acl cat
1) "keyspace"
2) "read"
3) "write"
4) "set"
5) "sortedset"
6) "list"
7) "hash"
8) "string"
9) "bitmap"
10) "hyperloglog"
11) "geo"
12) "stream"
13) "pubsub"
14) "admin"
15) "fast"
16) "slow"
17) "blocking"
18) "dangerous"
19) "connection"
20) "transaction"
21) "scripting
 

6.5 ACL SETUSER

若用户不存在,则按默认规则创建用户。若用户存在则该命令不做任何操作。

127.0.0.1:6379> ACL SETUSER alvin
OK
127.0.0.1:6379> acl list
1) "user alvin off -@all"
2) "user default on nopass ~* +@all"

6.6 ACL GETUSER  使用下面的命令查看用户的 ACL 权限

127.0.0.1:6379> ACL GETUSER xiaozhang
flags
on
passwords
6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090
commands
-@all +set
keys
name*
127.0.0.1:6379>

6.7 ACL DELUSER   删除指定的用户。

#删除指定的用户
acl deluser <username>
127.0.0.1:6379> ACL DELUSER alvin

6.8 ACL SAVE

        我们可以使用 acl save 命令将当前服务器中的 ACL 权限持久化到 aclfile 中。

        如果没持久化就关闭 redis 服务,那些 ACL 权限就会丢失,因此我们每次授权之后一定要记得 ACL SAVE 将 ACL 权限持久化到 aclfile 中。

# 查看 users.acl
[root@alvin-test-os redis]# cat etc/users.acl

# 查看 acl 用户

[root@alvin-test-os redis]# redis-cli --raw
127.0.0.1:6379> acl list
user default on nopass ~* +@all
user xiaozhang on #6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090 ~name* -@all +set

# 保存 acl 权限配置
127.0.0.1:6379> acl save
OK
127.0.0.1:6379> exit

# 查看 acl 配置文件已经被写入

[root@alvin-test-os redis]# cat etc/users.acl
user default on nopass ~* +@all
user xiaozhang on
#6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090 ~name* -@all +set

6.9 ACL LOAD

我们也可以直接在 aclfile 中修改或新增 ACL 权限,修改之后不会立刻生效,我们可以在 redis 命令行中执行 acl load 将该 aclfile 中的权限加载至 redis 服务中。

#将 aclfile 中的权限加载至 redis 服务中
acl load

# 查看 acl 用户列表
127.0.0.1:6379> acl list
user default on nopass ~* +@all
user xiaozhang on
#6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090 ~name* -@all
+set

# 重载
127.0.0.1:6379> ACL LOAD
OK

# 查看新用户已经加入
127.0.0.1:6379> acl list
user alvin on #6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090
~name* -@all +set
user default on nopass ~* +@all
user xiaozhang on
#6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090 ~name* -@all
+set

6.10 AUTH

使用 auth 命令切换用户

AUTH <username> <password>
 

7、场景说明

  1. 创建DBA管理账号 
    > ACL SETUSER dba on #6d0ac515af9df81653ed0aa3ffa692663c3f556079791e2f00a4578990da66f3 allkeys +@all
OK
  2. 创建读写账号 
    > ACL SETUSER readwrite on >abc allkeys -@all +@read +@write
OK
  3. 创建只读账号 
    > ACL SETUSER readonly on >abc allkeys -@all +@read
OK
  4. 创建只写账号 
    > ACL SETUSER write_user on >abc allkeys -@all +@write
OK
  5. 创建复制账号 
    > ACL SETUSER replica-user >abc -@all +psync +replconf +ping on
OK
  6. 创建哨兵账号 
    > ACL SETUSER sentinel-user >abc -@all +client +subscribe +publish +ping +info +multi +slaveof +config +client +exec on
OK
  7. 创建监控账号 
    > ACL SETUSER monitor on >abc +monitor
OK
  8. 创建指定key、有指定类型权限的账号 
    -- 指定对h开头的hash类型的key有权限
> ACL SETUSER ops_user on >abc ~h* +@hash
OK

    其中key的模式是正则匹配,需要~开头,针对权限则是hash的类,其权限可以通过ACL CAT hash查看。

注意:以上操作完只有需要执行ACL SAVE。不然重置之后用户信息全部都清空了。

8、redis 集群模式

        如果是redis集群,有多个redis服务节点,临时添加用户的话,需要一个一个节点手动通过指令设置用户。

        获取公国acl file,上传到各个服务器节点,在进行acl load 命令

参考

【精选】redis用户权限管理 - ACL详解第一篇-CSDN博客

Redis新特性ACL安全策略_51CTO博客_redis acl

Redis7命令ACL - 自然博客

zzhongcy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Redis缓存常用4种策略原理详解
09-08
主要介绍了Redis缓存常用4种策略原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
C++使用redis的实例详解
12-25
C++使用redis的实例详解 hiredisredis数据库的C接口,目前只能在linux下使用,几个基本的函数就可以操作redis数据库了。  函数原型:redisContext *redisConnect(const char *ip, int port); 说明:该函数用来连接redis数据库,参数为数据库的ip地址和端口,一般redis数据库的端口为6379; 函数返回值:该函数返回一个结构体redisContext; 类似的提供了一个函数redisContext* redisConnectWithTimeout(const char *ip, int port, time
Redis【有与无】【Admin-7】Redis访问控制列表(ACL)...
琴韵悠悠
12-13 1256
本文基于Redis 6.0.9版本,前提至少 Redis 3.0或更高版本。 1.ACLRedis Access Control Lists) https://redis.io/topics/acl
Linux-docker
hjlooper的博客
12-09 1060
linux docker的使用和一些容器的按照
Redis 6.0 访问控制列表ACL说明(有这篇就够了)
奇点
11-22 6495
Redis6.0之前的版本中,登陆Redis Server只需要输入密码(前提配置了密码 requirepass )即可,不需要输入用户名,而且密码也是明文配置到配置文件中,安全性不高。并且应用连接也使用该密码,导致应用有所有权限处理数据,风险也极高。在Redis6.0有了ACL之后,终于解决了这些不安全的因素,可以按照不同的需求设置相关的用户和权限。本文来介绍下Redis 6.0 ACL相关的配置和使用。具体的说明可以查看官方文档:ACL Redis ACL 是向后兼容的,即默认情况下用户为de...
一文搞懂redis的用户权限管理(ACL)功能
cj_eryue的博客
06-26 5275
Redis在6.0之前基本没有用户权限的概念,只有一个连接认证密码,一旦通过了认证就可以随意操作任意的redis数据,无法对用户权限进行精确控制,很容易因为用户权限过大引发误操作。如果想禁用某些不安全的命令,比如flushdb,flushall,只能通过rename-command的方式来避免。redis6.0发布了权限管理功能ACL(access control list 访问控制列表),可以对不同的用户设置不同的权限,限制用户可使用的命令,可访问的key等。
Redis 6.0访问控制列表(ACL
middleware2018的博客
09-30 1548
来源:redis.io 翻译:Wen Hui 转载:中间件小哥 Redis访问控制列表(ACL),是一项可以实现限制特定客户端连接可执行命令和键访问的功能,它的工作方式是:客户端连接服务器以后,客户端需要提供用户名和密码用于验证身份:如果验证成功,客户端连接会关联特定用户以及用户相应的权限。Redis可以配置新的客户端连接自动使用default用户进行验证(默认选项),因此配置default用户权限 会使没有验证的客户端只能使用一小部分功能。 Redis 6版本(第一个支持ACL的版本)的默认配置
Redis——安全配置和权限控制
FlyLikeButterfly的博客
06-17 4188
redis权限设置,ACL相关;
redis配置外部acl访问控制列表
qq_51490070的博客
08-15 782
代码】redis配置外部acl访问控制列表。
Redis Cluster 7.0 用户管理与ACLs权限控制
楼上别吵了,我想睡觉
02-08 1312
在内部,首先检查根权限,然后按照添加的顺序检查选择器。例如:某个用户的ACL规则设置为+GET ~key1 (+SET ~key2),那么该用户可以执行。
Redis持久化策略详解
05-27
Redis持久化策略详解
redis配置文件说明详解
最新发布
12-25
redis配置文件说明详解
Redis错误配置详解
02-21
使用Redis做缓存时,应用往往能得到非常高的性能。然而,如果配置不当,你将遇到很多令人头疼的问题,比如复制缓冲区限制、复制超时等。笔者在运行了上千个Redis数据库实例后,不仅发现了使用Redis时遇到的一些令...
springboot2.0 集成redis服务详解,以及 (Lettuce & Jedis)
热门推荐
zzhongcy的专栏
10-16 4万+
前言 在实际项目开发过程中,相信很多人都有用到过 redis 这个NoSQL,这篇文章就详细讲讲springboot如何整合 redis Redis 简介 简单介绍下RedisRedis是一个开源的使用 ANSI C语言编写,支持网络,可基于内存也可持久化的日志型,Key-Value数据库,并提供了多种语言的 API ,相比 Memcached 它支持存储的类型相对更多 (字符,哈希...
SpringBoot2.0的@Cacheable(Redis)缓存失效时间解决方案
zzhongcy的专栏
09-04 4万+
1、注释介绍 @Cacheable、@CachePut、@CacheEvict spring cache 主要使用3个注释标签,即 @Cacheable、@CachePut 和 @CacheEvict,我们总结一下其作用和配置方法。 表 1. @Cacheable 作用和配置方法 @Cacheable 的作用 主要针对方法配置,能够根据方法的请求参数对其结果进行缓存 @C...
Redis4.0、5.0、6.0、7.0特性整理(持续更新)
zzhongcy的专栏
04-01 1万+
最近研究研究新版本redis的新特性,网上查了查资料,这里记录一下。 Redis 4 ¶ 模块系统 Redis 4.0 发生的最大变化就是加入了模块系统, 这个系统可以让用户通过自己编写的代码来扩展和实现 Redis 本身并不具备的功能,因为模块系统是通过高层次 API 实现的, 它与 Redis 内核本身完全分离、互不干扰, 所以用户可以在有需要的情况下才启用这个功能。目前已经有人使用这个功能开发了各种各样的模块, 比如 Redis Labs 开发的一些模块就可以在 http://...
sprintboot redis异常处理CacheErrorHandler详解以及性能问题分析
zzhongcy的专栏
10-14 5458
最近考虑redis异常处理,网上很多资料都是实现了CacheErrorHandler进行处理的,但是忽略了一个性能问题,下面介绍一下。 redis配置 其他配置忽略,只关心下面配置: # 连接超时时间(毫秒) spring.redis.timeout=400 CacheErrorHandler实现 如下:https://www.cnblogs.com/zhizhao/p/1015128...
redis集群批量删除模糊key shell脚本
zzhongcy的专栏
09-03 4498
1. 命令删除: 1. 1批量删除Key Redis 中有删除单个 Key 的指令 DEL,但好像没有批量删除 Key 的指令,不过我们可以借助 Linux 的 xargs 指令来完成这个动作 redis-cli keys "*" | xargs redis-cli del //如果redis-cli没有设置成系统变量,需要指定redis-cli的完整路径 //如:/opt/redis/r...
Redis的scan命令
zzhongcy的专栏
03-26 3882
最近研究redis大数据处理,网上查了查资料,这里记录一下。 在 redis 实际使用中,会遇到一个问题:如何从海量的 key 中找出满足特定前缀的 key 列表来? 1. 不要使用 keys* redis 提供了一个简单暴力的指令 keys 用来列出所有满足特定正则字符串规则的 key。 keys xxx* 这个指令有致命的弊端,在实际环境中最好不要使用: 这个指令没有 ...
redis acl 配置权限
04-29
Redis ACL(Access Control Lists)是 Redis 6.0 中新增的一项功能,用于对 Redis 实例的访问进行细粒度控制。通过 ACL 可以对每个用户分配不同的权限,从而保证 Redis 实例的安全性。 下面是 Redis ACL 的一些配置权限示例: 1. 创建用户 ``` ACL SETUSER username password ``` 其中,`username` 为要创建的用户名,`password` 为该用户的密码。 2. 设置用户权限 ``` ACL SETUSER username on|off [command_name [key_pattern]] ``` 其中,`on` 表示允许该用户执行指定命令,`off` 表示禁止该用户执行指定命令。`command_name` 表示要设置权限的命令名,`key_pattern` 表示要设置权限的键名模式。 例如,设置用户 `test_user` 只能执行 `get` 和 `set` 命令: ``` ACL SETUSER test_user on get set ``` 3. 设置默认权限 ``` ACL SETUSER default on|off [command_name [key_pattern]] ``` 其中,`default` 表示所有用户的默认权限。可以使用 `on` 或 `off` 指定是否允许执行指定的命令。 例如,设置所有用户只能执行 `get` 和 `set` 命令: ``` ACL SETUSER default on get set ``` 4. 查看用户权限 ``` ACL GETUSER username ``` 通过该命令可以查看指定用户的权限。 5. 查看所有用户 ``` ACL USERS ``` 通过该命令可以查看当前 Redis 实例中所有的用户。 6. 删除用户 ``` ACL DELUSER username ``` 通过该命令可以删除指定的用户。 需要注意的是,Redis ACL 需要在 Redis 配置文件中启用,具体配置可以参考 Redis 官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值