2. 程式人生 > >使用滴滴雲DC2,在CentOS7安裝Redis並進行安全加固

使用滴滴雲DC2,在CentOS7安裝Redis並進行安全加固

阿新 發佈:2018-11-14

簡介

Redis是開源的記憶體資料庫,並以其良好的靈活性、效能、可擴充套件性與相容性著稱。

Redis本身被設計成客戶端授信的環境下進行訪問,服務本身並沒有強大的安全功能。但是也具有一些關於安全的基本功能,包括訪問密碼、命令的重新命名與遮蔽等能力。本教程提供瞭如何配置這些安全功能的說明,並且包含CentOS7上能夠為Redis提供的安全特性。

請注意,本文件不涉及分散式與跨地域的Redis叢集。

環境準備

本教程使用滴滴雲DC2環境進行部署,不同環境部署可能略有不同。

安裝Redis

以yum方式安裝CentOS7支援的Redis預設版本(如需其他版本則需要從redis.io進行下載):

$ sudo yum install redis -y

整個操作過程使用預設使用者即dc2-user進行操作

完成安裝後,啟動Redis服務:

$ sudo systemctl enable redis

如需在系統啟動時啟動Redis服務,可執行如下命令:

$ sudo systemctl enable redis

執行如下命令,檢視Redis服務狀態:

$ sudo systemctl status redis.service

輸出內容如下:

● redis.service - Redis persistent key-value database
   Loaded: loaded (/usr/lib/systemd/system/redis.service; disabled; vendor preset: disabled)
  Drop-In: /etc/systemd/system/redis.service.d
           └─limit.conf
   Active: active (running) since Thu 2018-11-08 17:20:58 CST; 15s ago
 Main PID: 21637 (redis-server)
   CGroup: /system.slice/redis.service
           └─21637 /usr/bin/redis-server 127.0.0.1:6379

Nov 08 17:20:58 10-255-20-202 systemd[1]: Starting Redis persistent key-value database...
Nov 08 17:20:58 10-255-20-202 systemd[1]: Started Redis persistent key-value database.

一旦確認服務已啟動,可使用如下命令進行測試:

$ redis-cli ping

螢幕中會輸出 PONG ,表示服務已執行,接下來我們就可以配置安全選項了。

繫結Redis訪問地址

開啟Redis配置檔案並進行編輯:

$ sudo vi /etc/redis.conf

找到以bind開頭的行,並在下面加入如下內容:

bind 127.0.0.1

強烈建議此處只新增私有地址,新增共有地址會增加額外的風險。如果你需要繫結其他地址,可在IP後加空格和其他IP地址。

配置Redis密碼

再次開啟Redis配置檔案:

$ sudo vi /etc/redis.conf

游標移動到SECURITY章節,找到如下注釋內容:

# requirepass foobared

通過移除‘#’,並將foobared修改成更為安全的密碼,比如使用sha256sum對簡單密碼進行加密:

$ echo "didicloud" | sha256sum

將輸出結果修改到配置檔案中並重啟服務:

$ sudo systemctl restart redis.service

現在來測試下是否需要密碼進行登入:

$ redis-cli
127.0.0.1:6379> set key1 10

顯然,這時候需要密碼才能夠正常操作了,那麼首先需要進行認證:

127.0.0.1:6379> auth your_redis_password

Redis會返回 OK,此時表示已經認證成功,可繼續上面的資料操作:

127.0.0.1:6379> set key1 10
OK

127.0.0.1:6379> get key1
"10"

退出Redis命令列,可執行如下命令:

127.0.0.1:6379> quit

對危險命令進行重新命名

Redis的另一個內建的安全機制,允許將危險命令進行重新命名或者完全禁用,已防止未授權使用者使用命令擦除或銷燬資料。

危險命令包含如下:

  • FLUSHDB
  • FLUSHALL
  • KEYS
  • PEXPIRE
  • DEL
  • CONFIG
  • SHUTDOWN
  • BGREWRITEAOF
  • BGSAVE
  • SAVE
  • SPOP
  • SREM
  • RENAME
  • DEBUG

以上並不是一個完善的清單,但是從如上命令進行重新命名或禁用是一個很好的開始。

重新開啟Redis的配置檔案

sudo vi  /etc/redis.conf

通過配置一個重新命名空值來禁用命令

rename-command FLUSHDB ""
rename-command FLUSHALL ""
rename-command DEBUG ""

通過配置一個新的名稱來給命令重新命名:

rename-command SHUTDOWN SHUTDOWN_MENOT
rename-command CONFIG ASC12_CONFIG

配置好之後重啟服務:

$ sudo service redis-server restart

滴滴雲技術團隊在Redis部署實戰方面積累了豐富的經驗,敬請關注本系列文章的後續分享。

本文作者:杜文迪

相關推薦

使用滴滴DC2CentOS7安裝Redis進行安全加固

簡介 Redis是開源的記憶體資料庫,並以其良好的靈活性、效能、可擴充套件性與相容性著稱。 Redis本身被設計成客戶端授信的環境下進行訪問,服務本身並沒有強大的安全功能。但是也具有一些關於安全的基本功能,包括訪問密碼、命令的重新命名與遮蔽等能力。本教程提供瞭如何配置這些安全功能的說

Centos7安裝Redis設定遠端訪問

下載安裝檔案 wget http://download.redis.io/releases/redis-4.0.2.tar.gz 安裝編譯器 yum install gcc-c++ Redis安裝檔

CentOS7安裝Tomcat9進行相關配置

1.下載 Tomcat 9   CentOS 7 下建立目錄並下載檔案: cd /usr/local/ mkdir tomcat cd tomcat wget http://mirrors.hust.edu.cn/apache/tomcat/tomcat-9/v9.0.11/bin/apache-t

Ubuntu16.04 Linux安裝redis進行配置

1.  下載安裝 ~ sudo apt-get install redis-server 2. 執行命令檢查redis的啟動狀態 ~ ps -aux|grep redis 3. 配置redis的相關配置,其中包括了修改外網能進行訪問, 開啟密碼訪問(一定要開啟,否則會有

CentOS7安裝redis設定開機自啟動(Redis安裝Redis自啟動、Redis設定開機自啟動)

1、下載 redis https://redis.io/download 2、解壓安裝 tar -zxvf redis-3.2.9.tar.gzcd redis-3.2.9makemak

CentOS7下Yum安裝Redis配置主從

vpd 客戶端連接 systemctl 模式 內存 同步 tex 結構 持久 Redis簡介: Redis 是完全開源免費的,遵守BSD協議,是一個高性能的key-value數據庫。它通常被稱為數據結構服務器,因為值(value)可以是 字符串(String), 哈希(Ma

阿里 CentOS 安裝 redis配置遠端連線

一:yum install epel-release 二:安裝 yum install redis 三:啟動 systemctl start redis 四:查詢 redis.conf 目錄 whereis redis.conf 會打印出redis: /etc/

Linux下安裝Redis實現遠端連線Redis Desktop Manager視覺化連線

1.下載redis redis不是安裝包,例如tomcat,mysql等都是安裝包直接解壓就可以使用,redis是原始檔,需要用編譯後才可以使用。 2.使用xftp把壓縮包拖入到root/redis/資料夾下,並解壓 tar -zxvf redis-5.0.0.

阿里伺服器使用yum安裝redis配置開機自啟

前言  自己買了個阿里雲伺服器,在安裝redis之後,想要將redis註冊為系統服務,並設定開機自啟,走了些彎路,但最終弄好,記錄下,也希望能幫到廣大碼農。 1.安裝gcc 如果沒有需要先進行安裝,使用一下命令,但一般阿里雲伺服器都會有 yum install cpp

騰訊CentOS 7.4 64位安裝Redis開啟遠端連線

在騰訊雲CentOS 7.4 64位安裝Redis。安全組預設先開放所有埠。使用Xshell+FileZilla操作更方便安裝Redis第一步:下載redis安裝包(具體版本請自行檢視網站)wget http://download.redis.io/releases/redis-4.0

阿里CentOS7安裝redis後不能遠端訪問解決方案

筆者在阿里雲Centons7安裝完redis後本地程式連連線不上,以下是報錯資訊和解決方案報錯資訊:Caused by: io.netty.channel.AbstractChannel$AnnotatedConnectException: Connection refuse

阿里安裝redis遠端連線

安裝 下載:wget http://download.redis.io/releases/redis-4.0.10.tar.gz 解壓:tar xzf redis-4.0.10.tar.gz 進入解壓後的目錄:cd redis-4.0.10 安裝:make 配置

VMWare虛擬機centos7安裝redis

ase -1 protected 虛擬 centos unit imp pri 虛擬機 一、Redis依賴gcc和tcl環境,所以要先安裝gcc和tcl 1.執行 yum install gcc-c++ 安裝gcc,安裝過程中提示是否繼續,直接輸入y即可,直到完成,如下

linux下安裝redis配置

ext find 客戶 bin extract write sometimes group gin redis官網上給出了安裝步驟,這裏做一下總結。 1、Download, extract and compile Redis with: wget http://downl

Ubuntu16.04下安裝redis實現helloworld

ber -a lang 配置 ges image download rep mon 原文出處:http://blog.csdn.net/xiangwanpeng 1 sudo wget http://download.redis.io/releases/redis-3.2.

windows 安裝redis註冊服務

service evel img 開啟 logs level exe -c start windows下載地址 https://github.com/MSOpenTech/redis/releases 啟動:redis-server redis.

Centos7 安裝redis服務

進制 conf mkdir keyword avr roc log repr http Redis的安裝 1.先安裝gcc編譯器,否則make的時候會報錯 yum -y install gcc 2.下載redis安裝包,解壓編譯安裝 $ wget http://downlo

[轉] linux-Centos7安裝python3與python2共存

python3 編譯安裝 hang openssl 重新 bsp sta 安裝 pos http://www.cnblogs.com/JahanGu/p/7452527.html - > 補充   編譯安裝python是需要的zlib.h/openssl/h等

CentOS7安裝MySQL設置遠程登錄

安裝完成 開始 就是 分支 centos7 too entos -c views 在CentOS中默認安裝有MariaDB,這個是MySQL的分支,但為了需要,還是要在系統中安裝MySQL,而且安裝完成之後可以直接覆蓋掉MariaDB。 1 下載並安裝MySQL官方的 Y

linux-Centos7安裝python3與python2共存

yum 就是 openss blog 6.2 同時 exe ins 上下 linux-Centos7安裝python3並與python2共存1.可見執行文件在/usr/bin/ 目錄下,切換到該目錄下執行 ll python* 命令查看 cd /usr/bin/ll pyt