快捷導(dǎo)航

Redis密碼設(shè)置與訪(fǎng)問(wèn)限制實(shí)現(xiàn)方法

更新時(shí)間：2020年11月24日 09:48:43 作者：ノGHJ

這篇文章主要介紹了Redis密碼設(shè)置與訪(fǎng)問(wèn)限制實(shí)現(xiàn)方法,文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下

現(xiàn)在用redis緩存熱數(shù)據(jù)越來(lái)越常見(jiàn)了，甚至一些配置，開(kāi)關(guān)等等的東西也寫(xiě)到redis里。原因就是redis簡(jiǎn)單高效。redis里的數(shù)據(jù)也越來(lái)越重要了，例如一些業(yè)務(wù)的中間數(shù)據(jù)會(huì)暫時(shí)存放在redis里，所以限制redis的訪(fǎng)問(wèn)還是很有必要。

本文通過(guò)幾個(gè)手段說(shuō)一下生產(chǎn)環(huán)境中redis的訪(fǎng)問(wèn)權(quán)限控制。

1、綁定網(wǎng)卡bind

redis的配置文件redis.conf中對(duì)于網(wǎng)絡(luò)安全部分有這樣一段話(huà)

################################## NETWORK #####################################

# By default, if no "bind" configuration directive is specified, Redis listens
# for connections from all the network interfaces available on the server.
# It is possible to listen to just one or multiple selected interfaces using
# the "bind" configuration directive, followed by one or more IP addresses.
#
# ~~~ WARNING ~~~ If the computer running Redis is directly exposed to the
# internet, binding to all the interfaces is dangerous and will expose the
# instance to everybody on the internet. So by default we uncomment the
# following bind directive, that will force Redis to listen only into
# the IPv4 lookback interface address (this means Redis will be able to
# accept connections only from clients running into the same computer it
# is running).

這段話(huà)的意思道出了bind的深意：bind的意思是你的redis實(shí)例綁定在哪個(gè)interface上，可以理解成綁定在哪個(gè)網(wǎng)卡上。那么我們有幾個(gè)網(wǎng)卡呢？可以看一下。

$ ifconfig
eth0 Link encap:Ethernet HWaddr 6C:92:BF:22:D7:FC
inet addr:10.93.84.53 Bcast:10.93.84.127 Mask:255.255.255.128

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0

這里就兩個(gè)，一個(gè)是eth0以太網(wǎng)卡(10.93.84.53)，一個(gè)是本地回路lo(127.0.0.1)。

那么會(huì)有這兩種情況：

1) bind 10.93.84.53 #同一網(wǎng)段的所有主機(jī)都可以連接redis

2) bind 127.0.0.1 #本地回路，那么只有你redis實(shí)例所在的主機(jī)能訪(fǎng)問(wèn)redis

你可以根據(jù)你的需要進(jìn)行使用:

1) 如果你的機(jī)器直接暴露給互聯(lián)網(wǎng)，那么你還是慎重的將bind設(shè)置為127.0.0.1吧，否則你相當(dāng)于暴露了你的redis給外部所有攻擊。

2) 如果你再生產(chǎn)環(huán)境中，那么你一般會(huì)需要綁在網(wǎng)卡上，以便其他主機(jī)也能訪(fǎng)問(wèn)redis，那么我們會(huì)有一些其他的方式保證redis數(shù)據(jù)的安全。

2、設(shè)置密碼requirepass

redis.conf里有這樣的配置，設(shè)置了密碼之后。

#requirepass <yourpassword>
requirepass mypass

重啟redis服務(wù)后，你的客戶(hù)端都需要通過(guò)密碼的方式訪(fǎng)問(wèn)redis

# 密碼正確
$ redis-cli -h 10.93.84.53 -p 6379 -a mypass ping
PONG
# 密碼錯(cuò)誤
$ redis-cli -h 10.93.84.53 -p 6379 -a hehe ping
(error) NOAUTH Authentication required.

3、nologin降低賬號(hào)權(quán)限

以較低權(quán)限賬號(hào)運(yùn)行Redis服務(wù)，且禁用該賬號(hào)的登錄權(quán)限。另外可以限制攻擊者往敏感寫(xiě)入文件，但是Redis數(shù)據(jù)還是能被黑客訪(fǎng)問(wèn)到，或者被黑客惡意刪除。

禁止Linux用戶(hù)登錄的方法，一般是修改用戶(hù)的shell類(lèi)型為/sbin/nologin

這種方式會(huì)更加人性化一點(diǎn)，因?yàn)椴粌H可以禁止用戶(hù)登錄，還可以在禁用登陸時(shí)給提示告訴它這么做的原因。
修改/etc/nologin.txt，沒(méi)有的話(huà)就手動(dòng)新建一個(gè)，在里面添加給被禁止用戶(hù)的提示(這種方式的所有用戶(hù)的鎖定信息都在這個(gè)文件中，在登陸時(shí)給與提示)。

其實(shí)就是把/etc/passwd文件里的/bin/bash對(duì)應(yīng)改成/sbin/nologin

[root@host-192-168-1-117 ~]# useradd wangshibo
[root@host-192-168-1-117 ~]# echo "123456"|passwd --stdin wangshibo
Changing password for user wangshibo.
passwd: all authentication tokens updated successfully.
[root@host-192-168-1-117 ~]# cat /etc/passwd|grep wangshibo
wangshibo:x:500:500::/home/wangshibo:/bin/bash
[root@host-192-168-1-117 ~]# sed -i 's#/home/wangshibo:/bin/bash#/home/wangshibo:/sbin/nologin#g' /etc/passwd
[root@host-192-168-1-117 ~]# cat /etc/passwd|grep wangshibo
wangshibo:x:500:500::/home/wangshibo:/sbin/nologin

[root@host-192-168-1-117 ~]# touch /etc/nologin.txt
[root@host-192-168-1-117 ~]# cat /etc/nologin.txt
In order to protect the system security, this type of user is locked!

4、iptables設(shè)置防火墻

在生產(chǎn)環(huán)境中設(shè)置防火墻還是很有必要的。如果正常業(yè)務(wù)中Redis服務(wù)需要被其他服務(wù)器來(lái)訪(fǎng)問(wèn)，可以設(shè)置iptables策略?xún)H允許指定的IP來(lái)訪(fǎng)問(wèn)Redis服務(wù)。

在你redis實(shí)例所在的主機(jī)，執(zhí)行如下命令。

# 查看iptables規(guī)則配置的規(guī)則
$ iptables -nL --line-number
# 禁止所有的主機(jī)訪(fǎng)問(wèn)本機(jī)6379端口
$ iptables -I INPUT -p TCP --dport 6379 -j DROP
# 打開(kāi)如下的機(jī)器-s指定，這些機(jī)器可以訪(fǎng)問(wèn)本機(jī)的6379端口
$ iptables -I INPUT -s 10.93.21.21 -p tcp --dport 6379 -j ACCEPT
$ iptables -I INPUT -s 10.93.18.34 -p tcp --dport 6379 -j ACCEPT
$ iptables -I INPUT -s 10.93.18.35 -p tcp --dport 6379 -j ACCEPT
$ iptables -I INPUT -s 10.93.84.53 -p tcp --dport 6379 -j ACCEPT
# 保存iptables配置
$ service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
# 重啟防火墻
$ service iptables restart
iptables: Setting chains to policy ACCEPT: filter [ OK ]
iptables: Flushing firewall rules: [ OK ]
iptables: Unloading modules: [ OK ]
iptables: Applying firewall rules: [ OK ]