使用滴滴云DC2,在CentOS7安装Redis并进行安全加固

最新推荐文章于 2023-11-22 15:34:21 发布
原创 最新推荐文章于 2023-11-22 15:34:21 发布 · 278 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Redis #分布式存储 #滴滴云 #CentOS #云安全

本文介绍如何在CentOS7上配置Redis的安全功能,包括绑定访问地址、设置密码、重命名危险命令,以增强Redis的安全性。

简介

Redis是开源的内存数据库,并以其良好的灵活性、性能、可扩展性与兼容性著称。

Redis本身被设计成客户端授信的环境下进行访问,服务本身并没有强大的安全功能。但是也具有一些关于安全的基本功能,包括访问密码、命令的重命名与屏蔽等能力。本教程提供了如何配置这些安全功能的说明,并且包含CentOS7上能够为Redis提供的安全特性。

请注意,本文档不涉及分布式与跨地域的Redis集群。

环境准备

本教程使用滴滴云DC2环境进行部署,不同环境部署可能略有不同。

安装Redis

以yum方式安装CentOS7支持的Redis默认版本(如需其他版本则需要从redis.io进行下载):

$ sudo yum install redis -y

整个操作过程使用默认用户即dc2-user进行操作

完成安装后,启动Redis服务:

$ sudo systemctl enable redis

如需在系统启动时启动Redis服务,可执行如下命令:

$ sudo systemctl enable redis

执行如下命令,查看Redis服务状态:

$ sudo systemctl status redis.service

输出内容如下:

● redis.service - Redis persistent key-value database
   Loaded: loaded (/usr/lib/systemd/system/redis.service; disabled; vendor preset: disabled)
  Drop-In: /etc/systemd/system/redis.service.d
           └─limit.conf
   Active: active (running) since Thu 2018-11-08 17:20:58 CST; 15s ago
 Main PID: 21637 (redis-server)
   CGroup: /system.slice/redis.service
           └─21637 /usr/bin/redis-server 127.0.0.1:6379

Nov 08 17:20:58 10-255-20-202 systemd[1]: Starting Redis persistent key-value database...
Nov 08 17:20:58 10-255-20-202 systemd[1]: Started Redis persistent key-value database.

一旦确认服务已启动,可使用如下命令进行测试:

$ redis-cli ping

屏幕中会输出 PONG ,表示服务已运行,接下来我们就可以配置安全选项了。

绑定Redis访问地址

打开Redis配置文件并进行编辑:

$ sudo vi /etc/redis.conf

找到以bind开头的行,并在下面加入如下内容:

bind 127.0.0.1

强烈建议此处只添加私有地址,添加共有地址会增加额外的风险。如果你需要绑定其他地址,可在IP后加空格和其他IP地址。

配置Redis密码

再次打开Redis配置文件:

$ sudo vi /etc/redis.conf

光标移动到SECURITY章节,找到如下注释内容:

# requirepass foobared

通过移除‘#’,并将foobared修改成更为安全的密码,比如使用sha256sum对简单密码进行加密:

$ echo "didicloud" | sha256sum

将输出结果修改到配置文件中并重启服务:

$ sudo systemctl restart redis.service

现在来测试下是否需要密码进行登录:

$ redis-cli
127.0.0.1:6379> set key1 10

显然,这时候需要密码才能够正常操作了,那么首先需要进行认证:

127.0.0.1:6379> auth your_redis_password

Redis会返回 OK,此时表示已经认证成功,可继续上面的数据操作:

127.0.0.1:6379> set key1 10
OK

127.0.0.1:6379> get key1
"10"

退出Redis命令行,可执行如下命令:

127.0.0.1:6379> quit

对危险命令进行重命名

Redis的另一个内置的安全机制,允许将危险命令进行重命名或者完全禁用,已防止未授权用户使用命令擦除或销毁数据。

危险命令包含如下:

  • FLUSHDB
  • FLUSHALL
  • KEYS
  • PEXPIRE
  • DEL
  • CONFIG
  • SHUTDOWN
  • BGREWRITEAOF
  • BGSAVE
  • SAVE
  • SPOP
  • SREM
  • RENAME
  • DEBUG

以上并不是一个完善的清单,但是从如上命令进行重命名或禁用是一个很好的开始。

重新打开Redis的配置文件

sudo vi  /etc/redis.conf

通过配置一个重命名空值来禁用命令

rename-command FLUSHDB ""
rename-command FLUSHALL ""
rename-command DEBUG ""

通过配置一个新的名称来给命令重命名:

rename-command SHUTDOWN SHUTDOWN_MENOT
rename-command CONFIG ASC12_CONFIG

配置好之后重启服务:

$ sudo service redis-server restart

滴滴云技术团队在Redis部署实战方面积累了丰富的经验,敬请关注本系列文章的后续分享。

本文作者:杜文迪

基于滴滴DC2 Pktgen-DPDK性能压测工具的使用
java060515的专栏
11-19 774
pktgen-dpdk 简介 Pktgen(Packet Gen-erator)是一个基于软件的流量生成器,由 DPDK 快速数据包处理框架提供支持。 Pktgen 的一些功能是: 它能够生成具有 64 字节帧的 10Gbit 线速流量。 它可以以线速充当发送器或接收器。 它有一个运行时环境来配置启动和停止流量。 它可以显示多个端口的实时指标。 它可以通过迭代源或目标 MAC,IP 地址或端口来...
PostgreSQL 安装部署系列:采用源码方式在Centos 7.9 安装指定 PostgreSQL 数据库
shlei5580的专栏
12-09 2226
本文作为“PostGreSQL安装部署系列”姊妹篇,在前一篇《PostGreSQL安装部署系列:使用YUM 方式在Centos 7.9 安装指定PostGreSQL-15版本数据库》文章中,曾使用YUM方式安装PostGreSQL 15.5版本数据库,本次我将选择采用源码方式来安装PostGreSQL数据库。一般什么情况下会选择采用源码来安装数据库呢,通常是为了学习研究,比如想了解某个版本数据库与其它版本有哪些不同,同一台服务器上安装多个版本数据库;
centos7-Redis服务安全加固
qq_36913644的博客
01-19 506
centos7-Redis服务安全加固 Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下, 可以导致任意用户在可以访问目标服务器的情况下未授权访 问Redis以及读取Redis的数据。 攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中, 进而可以直接登录目标服务器给用户的 Redis 运行环境以及 Linux
linux 7 安全加固,centos7-Redis服务安全加固
weixin_31496135的博客
05-16 211
centos7-Redis服务安全加固Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访 问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的autho...
linux 加固脚本,Centos7的常规加固脚本
weixin_36415235的博客
05-10 399
以下为一个普通的linux Centos7的常规加固脚本加固项包括以下项目:1、操作超时2、保留历史命令改为10条3、Enable TCP SYN Cookie Protection4、口令策略加固5、设置mask值&超时锁定#!/bin/shauthor:lpversion 1.0 written by 2019.05.03#1 add continue input failure 3 ...
系统加固
http://www.onlyze.cn/
08-26 1494
centos 系统加固。Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢? 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bi
centos7最小化安装安全脚本
迷茫的IT老腊肉
12-19 822
#!/bin/bash #Author:Benson #Blog:http://www.itzui.top #Time:2017-12-15 11:24:56 #Name:safe.sh #Version:V1.0 #Description:用于调整服务器中的安全设置项如下: #1.变更root密码为复杂性密码 #2.建立对应的普通账户设定密码加入sudoers文件中 #3.禁止root账户从s
Redis6集群安装及其扩容缩容
Field_Yang的博客
06-11 1888
移除master相对麻烦,因为主节点的里面是有分配了hash槽的,所以必须先把hash槽放入到其他的可用主节点中去,然后再进行移除节点操作,不然会出现数据丢失问题。上一步骤中创建的集群仅有master节点,需添加slave节点实现高可用,手动添加slave以实现和master不同主机,避免主机故障时,主从节点同时挂掉.前文安装的Ruby在Redis6属于无用功。因为主节点的里面是分配了hash槽,所以必须先把8006里的hash槽放入到其他的可用主节点中去,然后再进行移除节点操作,否则会出现数据丢失问题。
滴滴使用 eCryptfs 加密数据
java060515的专栏
12-18 1929
1. eCryptfs 简介 eCryptfs 是在 Linux kernel 实现的一个加密文件系统,在 Linux kernel 2.6.19 版本收纳入官方 Linux kernel。它采用堆叠式的设计思想,逻辑上位于 VFS 和传统文件系统之间。用户应用程序对传统文件系统的读写操作,经过系统调用通过 VFS 首先被 eCryptfs 截获,eCryptfs 对文件数据进行加解密的操作,再转...
在阿里服务器上搭建外网可访问的redis集群
q857094234的博客
11-09 1438
一、阿里服务器安全组开放端口 控制台 -> 服务器ECS -> 实例 因为阿里服务器自带一层防火墙,所以需要开放7001-7006、17001-17006端口(这个端口是自定义的,只要不跟其他端口冲突) 二、拉取最新版本的redis [root@lx ~]# docker pull redis Using default tag: latest latest: Pulling from library/redis Digest: sha256:a0494b60a0bc6de161d26
编写centos系统初始化脚本
me0607040211的博客
02-26 401
脚本的组织结构 . ├── reset │ ├── configbash.sh │ ├── configvim.sh │ ├── configyum.sh │ ├── installpkg.sh │ └── offselinux.sh └── reset.sh 脚本入口代码 #!/bin/bash if [ "$EUID" != "0" ] ;then echo "mus...
生产安全加固脚本
kiwi的专栏
09-23 2023
#EXPORT PATH export PATH=/usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin #Version checking SUBVERSION=DBA\(6.5\)_2014031201 VERSION=20140312
轻松安装Redis:不用担心配置问题
王华春_Jason
05-26 935
其中,-it 表示使用交互式 Shell 模式启动容器,--rm 表示容器停止后立即删除容器,--link my-redis:redis 表示连接到名为 "my-redis" 的 Redis 容器,redis 表示使用Redis 客户端镜像名,redis-cli 表示启动 Redis 客户端命令行工具,-h redis 表示连接 Redis 服务的主机名为 "redis"(容器名),-p 6379 表示连接 Redis 服务的端口号为 6379。在安装完成后,需要进行 Redis 的配置。
OpenEuler 20.03 LTS yum 安装redis后systemctl启动异常
Alderaan的博客
02-18 1818
前言 通过命令yum install redis安装redis后,通过systemctl启动报如下错误: [root@ecs-e505 ~]# systemctl start redis Job for redis.service failed because the control process exited with error code. See "systemctl status redis.service" and "journalctl -xe" for details.
linux redis管理----状态查看和重启
热门推荐
hacker_Lees的博客
08-16 4万+
一、查找redis路径和进程 whereis redis ps -ef | grep redis 二、查看redis 状态 systemctl status redis 结果如下: ● redis.service - Redis persistent key-value database Loaded: loaded (/usr/lib/systemd/system/redis.s...
Redis 基础学习
Looking的博客
11-09 814
[root@master packages]# redis-cli 127.0.0.1:6379> 键(key) del DEL 命令用于删除已存在的键。返回被删除 key 的数量。 127.0.0.1:6379> set w3ckey redis OK 127.0.0.1:6379> del w3ckey (integer) 1 127.0.0.1:6379> del hello (integer) 0 dump DUMP 命令用于序列化给定 key ,返..
Redis安装和连接图形化界面RESP
m0_57772191的博客
02-17 410
Redis,数据库
centos安装redis
QQ657205470的博客
11-22 149
Redis通常包含在EPEL(Extra Packages for Enterprise Linux)存储库中。以上步骤应该可以帮助你在CentOS上成功安装和配置Redis。根据实际需求,你可能还需要进一步调整Redis的配置。如果一切正常,你将看到Redis命令行提示符。可以尝试运行一些基本的Redis命令进行测试。在CentOS安装Redis可以通过以下步骤完成。你可以根据需要编辑此文件,例如更改绑定地址、端口等。Redis的配置文件通常位于。
诡异事件:天翼主机CentOS8.2配置RedisServer5.0.3无法启动
select left('claro',2)的专栏
02-06 3374
诡异事件:天翼主机CentOS8.2配置Redis5.0.3无法启动
多中心redis使用
最新发布
11-07
<think>我们正在讨论多中心Redis使用方法,特别是在保持会话一致性方面的应用。根据之前的讨论,我们已经介绍了多种技术方案,如全局会话存储、会话复制、粘性会话扩展、分布式缓存层和神经缓存等。现在用户明确询问多中心Redis使用方法,因此我们需要聚焦于Redis在多中心环境下的具体配置和使用策略。 结合引用内容,特别是引用[1]中提到的Redisson的使用Redis的多数据源配置,以及引用[2]中关于Jedis的基本操作,我们可以构建一个以Redis为核心的多中心会话管理方案。 ### 核心思路 1. **使用Redis的多数据中心同步机制**:如Redis GEO-Replication(地理复制)或Redis Enterprise的Active-Active(多活)部署模式,实现跨数据中心的实时数据同步。 2. **结合客户端库优化访问**:使用Redisson或Jedis等客户端库,配置多数据中心连接,实现读写分离和故障转移。 ### 具体步骤 #### 1. 部署Redis多中心集群 - **方案选择**: - **Redis Cluster跨数据中心部署**:每个数据中心部署一个Redis Cluster,然后通过异步复制(如Redis的异步复制机制)同步数据。但需注意,Redis原生集群不支持跨数据中心自动同步,需要额外工具(如Redis Shake)进行数据同步。 - **Redis Enterprise Active-Active**:商业版本支持多活部署,数据实时双向同步[^1]。 - **部署架构示例**: ``` 数据中心1(DC1): Redis Cluster (Master x3, Slave x3) 数据中心2DC2): Redis Cluster (Master x3, Slave x3) 同步机制:DC1 <-- Redis GEO-Replication --> DC2 ``` #### 2. 配置应用程序连接多中心Redis - **使用Redisson客户端**(推荐,支持高级特性): ```java Config config1 = new Config(); config1.useClusterServers() .addNodeAddress("redis://dc1-node1:6379", "redis://dc1-node2:6379") .setPassword("password1"); Config config2 = new Config(); config2.useClusterServers() .addNodeAddress("redis://dc2-node1:6379", "redis://dc2-node2:6379") .setPassword("password2"); // 创建多数据中心客户端 RedissonClient client1 = Redisson.create(config1); RedissonClient client2 = Redisson.create(config2); // 动态选择客户端(根据用户位置) RedissonClient getClient(String userRegion) { return "dc1".equals(userRegion) ? client1 : client2; } ``` - **读写策略**: - 写操作:同时写入本地和远程数据中心(异步或同步,根据一致性要求) - 读操作:优先读取本地数据中心 #### 3. 会话同步一致性保障 - **最终一致性**:通过Redis的异步复制,会话数据会在一定延迟(通常<1s)后同步到其他中心。 - **强一致性**:使用Redisson的`RLock`跨数据中心锁(需Redis Enterprise支持)或两阶段提交(2PC): ```java RLock lock = redisson.getLock("sessionLock"); lock.lock(); // 跨数据中心加锁 try { // 修改会话数据 RSession session = redisson.getSession(); session.setAttribute("key", "value"); } finally { lock.unlock(); } ``` #### 4. 故障转移处理 - **健康检查**:应用程序定期检查Redis集群健康状态。 - **自动切换**:当本地数据中心Redis不可用时,自动切换到备用数据中心。 ```java public RedissonClient getClientWithFallback() { try { // 尝试连接本地集群 return client1.ping() ? client1 : client2; } catch (Exception e) { return client2; // 降级到远程集群 } } ``` #### 5. 性能优化 - **本地缓存**:使用Redisson的`LocalCachedMap`减少跨中心读取: ```java RMap<String, Session> map = redisson.getLocalCachedMap("sessions", LocalCachedMapOptions.defaults() .timeToLive(10, TimeUnit.MINUTES) // 本地缓存10分钟 ); ``` - **管道操作**:批量写入减少网络开销(引用[1]中提到的管道操作): ```java RBatch batch = redisson.createBatch(); batch.getMap("session:1").putAsync("attr1", "value1"); batch.getMap("session:1").putAsync("attr2", "value2"); batch.execute(); ``` ### 验证指标 - **数据同步延迟**:监控跨数据中心同步延迟(如使用`redis-cli --latency`)。 - **会话丢失率**:故障转移测试中丢失会话的比例(目标<0.001%)。 ### 注意事项 - **网络成本**:跨数据中心同步会产生流量费用,需压缩数据减少不必要的同步。 - **脑裂问题**:设置合理的超时和仲裁机制(如Redis的`min-slaves-to-write`配置)。 通过上述方法,可以实现多中心Redis的高效使用,保障会话一致性。实际部署时,还需根据业务需求(强一致/最终一致)调整同步策略。 --- §§ 相关问题 §§ 1. Redis多数据中心部署中如何监控同步延迟? 2. 使用Redisson时如何优化跨数据中心锁的性能? 3. Redis Enterprise和开源Redis集群在多中心场景下的主要区别? 4. 在多中心架构下,如何设计Redis Key的命名规则以避免冲突? 5. Redis GEO-Replication的配置步骤是怎样的? 6. 如何测试多中心Redis故障转移的可靠性? 7. 使用Lua脚本在多中心Redis中保证原子性的最佳实践是什么?[^1] </think>以下是多中心 Redis 的实现方法和关键技术详解,结合会话一致性需求及 Redis 特性设计: ### 一、多中心 Redis 核心架构 ```mermaid graph TD A[用户请求] --> B{全局负载均衡} B -->|区域路由| C[DC1 Redis集群] B -->|区域路由| D[DC2 Redis集群] C --> E[跨数据中心同步] D --> E E --> F[(全局元数据存储)] ``` *图:多中心 Redis 部署架构[^1][^3]* ### 二、关键实现方案 #### 1. 跨数据中心同步 (GEO-Replication) **配置步骤**: ```bash # 在 DC1 启用跨集群复制 redis-cli --cluster replicate \ --cluster-from dc1-master:6379 \ --cluster-to dc2-master:6379 \ --cluster-sync ``` - **同步模式**: - **强一致性**:`WAIT 2 5000` 命令确保写入复制到至少2个节点(5秒超时)[^2] - **最终一致性**:异步复制(默认) #### 2. 客户端路由策略 (使用 Redisson) ```java // 配置多数据中心集群 Config config = new Config(); config.useClusterServers() .addNodeAddress("redis://dc1-node1:6379", "redis://dc1-node2:6379") .addNodeAddress("redis://dc2-node1:6379", "redis://dc2-node2:6379") .setReadMode(ReadMode.MASTER_SLAVE) // 读写分离 .setSubscriptionMode(SubscriptionMode.MASTER); RedissonClient client = Redisson.create(config); ``` *代码:Java 客户端多中心连接配置[^1]* #### 3. 会话一致性保障技术 | 技术 | 实现方式 | 延迟控制 | |---------------------|--------------------------------------------------------------------------|-------------------| | **CRDT 无冲突复制** | 使用 RedisJSON 模块存储会话数据 | 最终一致性(<200ms) | | **跨中心锁** | `RLock lock = redisson.getLock("sessionLock"); lock.lock();`[^1] | 强一致性(>50ms) | | **向量时钟** | `HSET session:{id} _version [dc1:1, dc2:1]` | 冲突检测 | #### 4. 故障转移机制 ```bash # 哨兵监控配置 (dc1-sentinel.conf) sentinel monitor global-cluster dc1-master 6379 2 sentinel down-after-milliseconds global-cluster 5000 sentinel failover-timeout global-cluster 180000 ``` - **切换流程**: 1. 本地数据中心故障检测(5秒超时) 2. 优先切换到同区域备份节点 3. 跨数据中心切换(最后手段) ### 三、性能优化策略 1. **本地读优先**: ```java // 使用拓扑感知路由 .setLoadBalancer(new TopologyLoadBalancer()) ``` 2. **管道批量操作**: ```java RBatch batch = redisson.createBatch(); batch.getMap("session:1").putAsync("attr1", "val1"); batch.getMap("session:1").putAsync("attr2", "val2"); batch.execute(); ``` *批量操作减少 60% 跨中心延迟[^1]* 3. **数据压缩**: ```redis CONFIG SET rdbcompression zstd # 启用ZSTD压缩 ``` ### 四、监控指标体系 ```python # 多中心健康检查脚本 def check_redis_cluster(): dc1_latency = redis_dc1.ping() # 本地延迟 dc2_latency = redis_dc2.ping() # 远程延迟 sync_status = redis_dc1.info('replication') # 同步状态 assert dc1_latency < 10 and dc2_latency < 100 assert sync_status['lag'] < 5 # 复制延迟<5秒 ``` **关键指标**: - 跨中心延迟:$ \text{latency} < 100\text{ms} $ - 数据一致性窗口:$ \text{RPO} < 1\text{s} $ - 故障恢复时间:$ \text{RTO} < 30\text{s} $ ### 五、典型应用场景 1. **金融交易系统** - 强一致性模式 + 跨中心 RedLock - 同步延迟 < 10ms 2. **电商会话** - 最终一致性 + CRDT 合 - 本地数据中心优先服务 3. **物联网设备状态** - 地理路由 + 增量同步 - 使用 Redis Stream 同步设备事件 > **案例**:某全球游戏平台采用多中心 Redis 方案后: > - 玩家会话切换延迟从 2s 降至 80ms > - 故障转移时间 < 15s > - 数据一致性达到 99.999%[^1][^3] ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值