Redis禁用命令、危险命令及规避方法

FLUSHALL FLUSHDB 命令会清空数据,而且从不失败,对于线上集群非常危险。

温馨提示:我在一家手游的公司工作,因为经常用到redis,特为此整理文档(借鉴过大神的文章):

KEYS * 命令,当数据规模较大时使用,会严重影响Redis性能,也非常危险。

一.什么是redis(出自百度百科)?

如果从根本上规避这些风险呢?

  redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted
set
–有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。区别的是redis会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件,并且在此基础上实现了master-slave(主从)同步。

Redis提供了非常简单且有效的方法,直接在配置文件中设置禁用这些命令。设置非常简单,如下复制代码 代码如下:rename-command FLUSHALL
“”rename-command FLUSHDB “”rename-command KEYS
“”需要注意的一点是,rename-command命名无法直接对线上集群生效。如果需要使用rename-command,必须重启集群。

  Redis 是一个高性能的key-value数据库。
redis的出现,很大程度补偿了memcached这类key/value存储的不足,在部
分场合可以对关系数据库起到很好的补充作用。它提供了Java,C/C++,C#,PHP,JavaScript,Perl,Object-C,Python,Ruby,Erlang等客户端,使用很方便。

所以建议一开始,就将该配置配置好。

  Redis支持主从同步。数据可以从主服务器向任意数量的从服务器上同步,从服务器可以是关联其他从服务器的主服务器。这使得Redis可执行单层树复制。存盘可以有意无意的对数据进行写操作。由于完全实现了发布/订阅机制,使得从数据库在任何地方同步树时,可订阅一个频道并接收主服务器完整的消息发布记录。同步对读取操作的可扩展性和数据冗余很有帮助。

  redis的官网地址,非常好记,是redis.io。(特意查了一下,域名后缀io属于国家域名,是british
Indian Ocean territory,即英属印度洋领地)

目前,Vmware在资助着redis项目的开发和维护

 

二.redis基本安全的文档:

1.信任的内网运行,绑定Redis监听的网络接口。

  bind 192.168.1.100 10.0.0.1 172.16.0.1

2.禁止root用户启动redis

  useradd -M -s /sbin/nologin [username]

3.限制redis文件目录访问权限

  chmod 700 /var/lib/redis   #假设这是你redis目录

  chmod 600 /etc/redis/redis.conf  #假设这是你redis配置文件

4.避免使用默认端口

5.开启Redis密码认证,并设置高复杂度密码(需要重启redis才能生效)

  vim /etc/redis/redis.conf  

  requirepass
ed4c39b015b0e46f079775474dbfd0a9a4ab278f63340a6d640999f25c68a932fef815

6.服务精细化授权

  # 禁用或重命名危险命令(FLUSHDB, FLUSHALL, KEYS,PEXPIRE, DEL,
CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE,
            SPOP, SREM, RENAME,DEBUG, EVAL等)

  rename-command CONFIG CONFIG_b9fc8327c4dee7

  rename-command SHUTDOWN SHUTDOWN_b9fc8327c4dee7

  rename-command FLUSHDB “”

  rename-command FLUSHALL “”# 重启生效

7.防火墙屏蔽Redis端口