Redis密码设置与访问限制(网络安全)
现在用redis缓存热数据越来越常见了,甚至一些配置,开关等等的东西也写到redis里。原因就是redis简单高效。redis里的数据也越来越重要了,例如一些业务的中间数据会暂时存放在redis里,所以限制redis的访问还是很有必要。
本文通过几个手段说一下生产环境中redis的访问权限控制。
1、绑定网卡bind
redis的配置文件redis.conf中对于网络安全部分有这样一段话
################################## NETWORK ###################################### By default, if no "bind" configuration directive is specified, Redis listens # for connections from all the network interfaces available on the server. # It is possible to listen to just one or multiple selected interfaces using # the "bind" configuration directive, followed by one or more IP addresses. # # ~~~ WARNING ~~~ If the computer running Redis is directly exposed to the # internet, binding to all the interfaces is dangerous and will expose the # instance to everybody on the internet. So by default we uncomment the # following bind directive, that will force Redis to listen only into # the IPv4 lookback interface address (this means Redis will be able to # accept connections only from clients running into the same computer it # is running).
这段话的意思道出了bind的深意:bind的意思是你的redis实例绑定在哪个interface上,可以理解成绑定在哪个网卡上。那么我们有几个网卡呢?可以看一下。
$ ifconfig eth0 Link encap:Ethernet HWaddr 6C:92:BF:22:D7:FC inet addr:10.93.84.53 Bcast:10.93.84.127 Mask:255.255.255.128lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0
这里就两个,一个是eth0以太网卡(10.93.84.53),一个是本地回路lo(127.0.0.1)。
那么会有这两种情况:
1) bind 10.93.84.53 #同一网段的所有主机都可以连接redis
2) bind 127.0.0.1 #本地回路,那么只有你redis实例所在的主机能访问redis
你可以根据你的需要进行使用:
1) 如果你的机器直接暴露给互联网,那么你还是慎重的将bind设置为127.0.0.1吧,否则你相当于暴露了你的redis给外部所有攻击。
2) 如果你再生产环境中,那么你一般会需要绑在网卡上,以便其他主机也能访问redis,那么我们会有一些其他的方式保证redis数据的安全。
2、设置密码requirepass
redis.conf里有这样的配置,设置了密码之后。
#requirepass <yourpassword>
requirepass mypass
重启redis服务后,你的客户端都需要通过密码的方式访问redis
# 密码正确 $ redis-cli -h 10.93.84.53 -p 6379 -a mypass ping PONG
# 密码错误 $ redis-cli -h 10.93.84.53 -p 6379 -a hehe ping (error) NOAUTH Authentication required.
3、nologin降低账号权限
以较低权限账号运行Redis服务,且禁用该账号的登录权限。另外可以限制攻击者往敏感写入文件,但是Redis数据还是能被黑客访问到,或者被黑客恶意删除。
禁止Linux用户登录的方法,一般是修改用户的shell类型为/sbin/nologin
这种方式会更加人性化一点,因为不仅可以禁止用户登录,还可以在禁用登陆时给提示告诉它这么做的原因。
修改/etc/nologin.txt,没有的话就手动新建一个,在里面添加给被禁止用户的提示(这种方式的所有用户的锁定信息都在这个文件中,在登陆时给与提示)。
其实就是把/etc/passwd文件里的/bin/bash对应改成/sbin/nologin
[root@host-192-168-1-117 ~]# useradd wangshibo [root@host-192-168-1-117 ~]# echo "123456"|passwd --stdin wangshibo Changing password for user wangshibo. passwd: all authentication tokens updated successfully. [root@host-192-168-1-117 ~]# cat /etc/passwd|grep wangshibo wangshibo:x:500:500::/home/wangshibo:/bin/bash [root@host-192-168-1-117 ~]# sed -i 's#/home/wangshibo:/bin/bash#/home/wangshibo:/sbin/nologin#g' /etc/passwd [root@host-192-168-1-117 ~]# cat /etc/passwd|grep wangshibo wangshibo:x:500:500::/home/wangshibo:/sbin/nologin[root@host-192-168-1-117 ~]# touch /etc/nologin.txt [root@host-192-168-1-117 ~]# cat /etc/nologin.txt In order to protect the system security, this type of user is locked!
4、iptables设置防火墙
在生产环境中设置防火墙还是很有必要的。如果正常业务中Redis服务需要被其他服务器来访问,可以设置iptables策略仅允许指定的IP来访问Redis服务。
在你redis实例所在的主机,执行如下命令。
# 查看iptables规则配置的规则 $ iptables -nL --line-number # 禁止所有的主机访问本机6379端口 $ iptables -I INPUT -p TCP --dport 6379 -j DROP # 打开如下的机器-s指定,这些机器可以访问本机的6379端口 $ iptables -I INPUT -s 10.93.21.21 -p tcp --dport 6379 -j ACCEPT $ iptables -I INPUT -s 10.93.18.34 -p tcp --dport 6379 -j ACCEPT $ iptables -I INPUT -s 10.93.18.35 -p tcp --dport 6379 -j ACCEPT $ iptables -I INPUT -s 10.93.84.53 -p tcp --dport 6379 -j ACCEPT # 保存iptables配置 $ service iptables save iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ] # 重启防火墙 $ service iptables restart iptables: Setting chains to policy ACCEPT: filter [ OK ] iptables: Flushing firewall rules: [ OK ] iptables: Unloading modules: [ OK ] iptables: Applying firewall rules: [ OK ]
设置成功后,只有配置的那四台机器可以访问redis实例。
相关文章:
Redis密码设置与访问限制(网络安全)
现在用redis缓存热数据越来越常见了,甚至一些配置,开关等等的东西也写到redis里。原因就是redis简单高效。redis里的数据也越来越重要了,例如一些业务的中间数据会暂时存放在redis里,所以限制redis的访问还是很有必要。 本文通过…...
php的线程安全与非线程安全版本的区别
PHP的线程安全(Thread Safe,简称TS)与非线程安全(Non-Thread Safe,简称NTS)版本主要在多线程环境下的行为特性、性能、以及适用场景上存在差异。以下是两者的详细对比: 一、定义与概念 线程安…...
标贝科技受邀出席2024ADD数据应用场景大会 共议数据要素发展新契机
12月13日,由北京市通州区人民政府主办,通州区经济和信息化局、通州区台湖镇人民政府承办的2024-ADD数据应用场景大会成功举办。标贝科技作为AI数据领域代表企业受邀出席大会,与数据要素创业者、投资人一起走进通州台湖,共话数据要…...
electron-vite打包后图标不生效问题
在electron-builder.yml中,通过icon配置自己的图标,以下是正确代码 win:executableName: 名称icon: build/icon.ico nsis:artifactName: ${name}-${version}.${ext}shortcutName: ${productName}uninstallDisplayName: ${productName}createDesktopShor…...
systemverilog中的unique if
1 基本概念 在 SystemVerilog 中,unique if是一种条件判断结构。它用于检查多个互斥的条件,以确保在给定的情况下只有一个条件分支被执行。这有助于提高代码的可读性和可维护性,同时也能帮助发现潜在的逻辑错误,报错原因有以下两个…...
【MySQL篇】事务的认识以及四大特性
何为事务? 事务(Transaction)是指一组操作的集合,这些操作要么全部执行成功,要么全部不执行。事务通常用于保证数据库的一致性、完整性和可靠性,确保数据的完整性与正确性。 有效避免部分执行࿰…...
Windows 11 安装 Dify 完整指南 非docker环境
# Windows 11 安装 Dify 完整指南## 前置要求- Python 3.11 - Node.js 18 - PostgreSQL 14 - Redis for Windows - Git - Ollama (可选,用于本地模型)## 详细安装步骤### 1. 安装必要软件1. **Python 3.11**- 从 https://www.python.org/downloads/release/python-…...
电子电气架构 --- 什么是EPS?
我是穿拖鞋的汉子,魔都中坚持长期主义的汽车电子工程师。 老规矩,分享一段喜欢的文字,避免自己成为高知识低文化的工程师: 所谓鸡汤,要么蛊惑你认命,要么怂恿你拼命,但都是回避问题的根源&…...
12寸半导体厂等保安全的设计思路
等级保护(等保)二级和三级的主要区别在于安全要求的严格程度、所需部署的安全措施和设备、以及对安全事件响应和处理的能力。以下是等保二级和三级之间的一些关键区别: 一、 安全要求严格程度: - 等保二级:适用于需要较高安全保护的信息系统,要求能够防范轻微的恶意攻击…...
【Chrome Extension】一、CSDN计时扩展设计
【Chrome Extension】一、CSDN计时扩展设计 重点内容内容脚本 content_scripts 文件目录1、整体目录2、manifest.json3、scripts/content.js4、css/content.css 重点内容 内容脚本 content_scripts 1、manifest.json文件配置 {"manifest_version": 3, # *依赖Chro…...
C语言——数据在内存中的存储
目录 前言 一数据类型 类型归类 二整形在内存中的存储 原反补码 大小端 相关练习题 三浮点数在内存中的储存 浮点数储存规则 前言 只有取学习数据在内存中的存储,我们在以后才能定义好(用好)各种类型的数据! 一数据类型…...
Python(二)str、list、tuple、dict、set
string name abcdefprint(name[0]) #a # 切片:取部分数据 print(name[0:3]) # 取 下标为0,1,2的字符 abc print(name[2:]) # 取 下标为2开始到最后的字符 cdef print(name…...
如何在谷歌浏览器中设置邮件客户端
在日常生活和工作中,电子邮件已经成为不可或缺的沟通工具。对于使用谷歌浏览器的用户来说,将Chrome设置为默认邮件客户端可以带来诸多便利。本文将详细介绍如何在谷歌浏览器中设置邮件客户端,帮助大家轻松实现这一目标。 在谷歌浏览器中设置邮…...
Robot Framework搭建自动化测试框架
1.配置环境 需要安装jdk8,andrid sdk(安装adb),pycharm编译环境以及软件 安装Robot Framework 首先,你需要安装Robot Framework,可以使用 pip 进行安装: pip install robotframework安装所需的…...
Linux——字符设备驱动控制LED
目录 驱动模块的加载和卸载 驱动程序Makefile编写 字符设备注册与注销 字符设备驱动模板 应用程序对驱动读写操作 iounmap函数 LED寄存器物理地址映射到虚拟地址 应用程序代码编写 Linux驱动的两种运行方式: 1、将驱动编译进Linux内核中,也就是zIm…...
云边端架构的优势是什么?面临哪些挑战?
一、云边端架构的优势 降低网络延迟:在传统集中式架构中,数据需传输到云计算中心处理,导致网络延迟较高。而云边端架构将计算和存储推向边缘设备,可在离用户更近的地方处理数据,大大降低了网络延迟,提升了用…...
Effective C++ 条款 01:视 C++ 为一个语言联邦
文章目录 条款 01:视 C 为一个语言联邦关键点 条款 01:视 C 为一个语言联邦 C 是一个复杂而多样化的编程语言,可以将其视为由多个子语言(sublanguage)组成的联邦。为了更好地理解和使用 C,需要认识它的四个…...
Redis分布式锁释放锁是否必须用lua脚本?
无lua脚本释放锁: public void unlock(String key, String uniqueValue) {String value redisDao.getString(key);if (value ! null && value.equals(uniqueValue))redisDao.delete(key); }使用lua脚本释放锁: // LUA脚本 -> 分布式锁解锁原…...
JVM系列(十三) -常用调优工具介绍
最近对 JVM 技术知识进行了重新整理,再次献上 JVM系列文章合集索引,感兴趣的小伙伴可以直接点击如下地址快速阅读。 JVM系列(一) -什么是虚拟机JVM系列(二) -类的加载过程JVM系列(三) -内存布局详解JVM系列(四) -对象的创建过程JVM系列(五) -对象的内存分…...
数据中心虚拟化与高可用性架构实施指南
数据中心虚拟化与高可用性架构实施指南 项目背景 随着业务的不断扩展和技术的迭代更新,公司决定采用虚拟化技术和构建高可用性架构来提高数据中心的资源利用率和业务连续性。本项目旨在详细描述运维人员在实施数据中心虚拟化和高可用性架构过程中的关键步骤和任务…...
三菱PLC搭配雅马哈四轴机械手在线检测收料案例解析:融合CAD电气图纸、CClink与串口通讯...
三菱plc搭配四轴雅马哈机械手在线检测收料案例程序。 (包涵CAD电气图纸,plc程序,人机界面,机器人程序,BOM表)程序中应用到CClink通讯,232串口通讯,数据采集伺服定位控制。这项目有点…...
深度排查:Hyper-V 已关但 VirtualBox 仍报错的完整解决方案
一、先确认核心状态:是否真的完全关闭了 Hyper-V 1. 用命令验证 Hyper-V 状态 以管理员身份打开终端,执行以下命令,确认所有相关服务都已禁用: bcdedit /enum | findstr hypervisorlaunchtype你已经确认是 Off,再执行&…...
OpenClaw多通道接入:百川2-13B-4bits量化版同时对接飞书与钉钉
OpenClaw多通道接入:百川2-13B-4bits量化版同时对接飞书与钉钉 1. 为什么需要多通道接入? 上周我团队遇到一个典型问题:产品、研发、运营三个小组分别使用钉钉和飞书作为主要沟通工具。每次需要协调资源时,要么在不同平台反复切…...
NFC Tool 免vip,使用联动密钥破解加密门禁卡教程
nfc门禁破解共享密钥,免vip使用联动密钥破解加密门禁卡 本项目将不定期更新密钥~~~~ 使用方式 方式一:使用本项目的 Android 扫描 APP(推荐) 本项目提供了一个独立的 Android 应用,内置密钥库,无需下载…...
三三学习_一些你不知道的事
特征 去中心化Decentralization 核心原則 信息分散存储,数据不再受科技巨企控制降低审查风险、拒绝服务(DoS)攻击的有效性保护个人用户的隐私数据甚至保留所有权 去信任化及无权限化Trustless and Permissionless 哎、上面刚说所有权&am…...
了!PHP 8.9智能GC自适应算法上线,3类高并发场景下的自动回收策略配置清单)
别再手动gc_collect_cycles()了!PHP 8.9智能GC自适应算法上线,3类高并发场景下的自动回收策略配置清单
第一章:PHP 8.9智能垃圾回收机制演进全景PHP 8.9并未实际发布——截至2024年,PHP官方最新稳定版本为PHP 8.3,PHP 8.4处于RC阶段,而PHP 8.9尚不存在。该标题属于前瞻性技术构想与行业演进推演场景下的概念性章节,旨在基…...
革命性Java包管理神器JitPack.io:10分钟快速上手指南
革命性Java包管理神器JitPack.io:10分钟快速上手指南 【免费下载链接】jitpack.io Documentation and issues of https://jitpack.io 项目地址: https://gitcode.com/gh_mirrors/ji/jitpack.io JitPack.io是一款革命性的Java包管理工具,它彻底改变…...
Chrom和PBV算法全解析:医疗级RPPG心率检测的5个关键陷阱
Chrom和PBV算法全解析:医疗级RPPG心率检测的5个关键陷阱 在ICU病房的昏暗灯光下,护士长李敏正盯着监护仪上剧烈波动的心率曲线皱眉——这位刚完成心脏手术的患者,因传统接触式电极导致皮肤过敏,而基于摄像头的非接触监测系统却频繁…...
✅)
计算机毕业设计:Python全国气象智能分析平台 Django框架 可视化 随机森林 爬虫 中国天气网 机器学习 深度学习(建议收藏)✅
博主介绍:✌全网粉丝50W,前互联网大厂软件研发、集结硕博英豪成立工作室。专注于计算机相关专业项目实战8年之久,选择我们就是选择放心、选择安心毕业✌ > 🍅想要获取完整文章或者源码,或者代做,拉到文章底部即可与…...
Coverband与Rails集成指南:从零到部署的完整流程
Coverband与Rails集成指南:从零到部署的完整流程 【免费下载链接】coverband Ruby production code coverage collection and reporting (line of code usage) 项目地址: https://gitcode.com/gh_mirrors/co/coverband Coverband是一款强大的Ruby生产环境代码…...