Redis的安装与新特性ACL安全策略

Yum安装Redis

直接使用yum install redis命令安装的Redis可能不是最新版本,如果需要安装新版本则需要安装Remi的软件源,命令如下:

yum install -y http://rpms.famillecollet.com/enterprise/remi-release-7.rpm

安装并启动

#安装
yum --enablerepo=remi install redis
#设置开机自启
systemctl enable redis
#启动服务
systemctl start redis
查看服务状态
systemctl status redis
查看Redis版本
redis-cli --version

配置远程连接

vim /etc/redis.conf
bind 0.0.0.0

ACL安全策略

在 Redis6 之前的版本,我们只能使用 requirepass 参数给 default 用户配置登录密码,同一个 redis 集群的所有开发都共享 default 用户,难免会出现误操作把别人的 key 删掉或者数据泄露的情况,因此 Redis6 版本推出了ACL(Access Controller List)访问控制权限的功能,基于此功能,我们可以设置多个用户,并且给每个用户单独设置命令权限和数据权限。为了保证向下兼容,Redis6 保留了 default 用户和使用 requirepass 的方式给 default 用户设置密码,***默认情况下 default 用户拥有 Redis 最大权限,我们使用 redis-cli 连接时如果没有指定用户名,用户也是默认 default***。

配置 ACL 的方式有两种,一种是在 config 文件中直接配置,另一种是在外部 aclfile 中配置。配置的命令是一样的,但是两种方式只能选择其中一种,我们之前使用 requirepass 给 default 用户设置密码 默认就是使用 config 的方式,执行 config rewrite 重写配置后会自动在 config 文件最下面新增一行记录配置 default 的密码和权限

redis密码设置

在 Redis 6.0 之前,Redis 只有一个 default 用户也是 Redis 中的超级管理员用户,如果要将其设置密码,需要修
改 Redis 配置文件,具体修改如下

requirepass 123456

修改之后,再次进入 Redis 时,发现已经没有权限操作了。

[root@localhost ~]# redis-cli --raw
127.0.0.1:6379> set a b
NOAUTH Authentication required

这个时候我们需要使用密码的方式进入

[root@openstack ~]# redis-cli
127.0.0.1:6379> auth 123456
OK
127.0.0.1:6379> set a b
OK
或者
[root@openstack ~]# redis-cli -a 123456 --raw
Warning: Using a password with '-a' or '-u' option on the command line interface may
not be safe.
127.0.0.1:6379> set a b
OK

我们可以直接在 config 配置文件中使用上面 default 用户 ACL 这行 DSL 命令设置用户权限,或者我们也可以配置外部 aclfile 配置权限。配置 aclfile 需要先将 config 中配置的 DSL 注释或删除,因为 Redis 不允许两种ACL 管理方式同时使用,否则在启动 redis 的时候会报下面的错误

Configuring Redis with users defined in redis.conf and at the same setting an ACL file path is invalid. This setup is very likely to lead to configuration errors and security holes, please define either an ACL file or declare users directly in your redis.conf, but not both

外部ACLFILE模式

注释 redis.conf 中所有已授权的 ACL 命令,如:

# user default on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~* +@all

在 config 文件中注释 default 用户的密码,因为开启 aclfile 之后,requirepass 的密码就失效了:

vim /etc/redis.conf
# requirepass 123456

在 config 文件中配置 aclfile 的路径,然后创建该文件,否则重启 redis 服务会报错找不到该文件

# 配置 aclfile 路径
vim /etc/redis.conf
aclfile /usr/local/redis/etc/users.acl
# 创建 users.acl 文件
touch /usr/local/redis/etc/users.acl
# 重启redis服务
systemctl restart redis
#或者在 redis 命令行中执行
aclfile load

开启 aclfile 之后不再推荐在 redis.conf 文件中通过 requirepass 配置 default 的密码,因为它不再生效,同
时开启 aclfile 之后也不能使用 redis-cli -a xxx 登陆,必须使用 redis-cli --user xxx --pass yyy 来登陆。在没设置密码的时候也可以无密码登录

这个时候显示的是无密码状态

127.0.0.1:6379> acl list
1) "user default on nopass ~* +@all"

在 redis.conf 和 aclfile 模式中配置 DSL 官方更推荐使用 aclfile,因为如果在 redis.conf 中配置了权限之后
需要重启 redis 服务才能将配置的权限加载至 redis 服务中来,但如果使用 aclfile 模式,可以调用 acl load 命令
将 aclfile 中配置的 ACL 权限热加载进环境中,类似于 Mysql 中的 flush privileges。但同时我们也可以使用命令:
config rewrite将 acl 权限初始化到 redis.conf 中;同时执行acl save可以将 acl 配置持久化到 aclfile 中。

ACL规则

ACL 是使用 DSL(Domain specific language)定义的,该 DSL 描述了用户能够执行的操作。该规则始终从上到下,从左到右应用,因为规则的顺序对于理解用户的实际权限很重要。ACL 规则可以在 redis.conf 文件以及 users.acl 文件中配置 DSL,也可以在命令行中通过 ACL 命令配置

ACL启用和禁用

on:启用用户:可以以该用户身份进行认证。
off:禁用用户:不再可以使用此用户进行身份验证,但是已经通过身份验证的连接仍然可以使用

# 创建一个用户, 默认情况下是非活跃状态
127.0.0.1:6379> ACL SETUSER xiaozhang
OK
# 查看用户
127.0.0.1:6379> acl list
user alvin off #6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090
-@all
user default on nopass ~* +@all
user xiaozhang off -@all
# 将用户设置成活跃状态
127.0.0.1:6379> ACL SETUSER xiaozhang on
OK
# 再次查看用户列表,发现小张已经变成了活跃状态
127.0.0.1:6379> acl list
user alvin off #6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090
-@all
user default on nopass ~* +@all
user xiaozhang on -@all

允许和禁止调用命令

命令 说明
+command 将命令添加到用户可以调用的命令列表中。
-command 将命令从用户可以调用的命令列表中移除。
+@category 允许用户调用 类别中的所有命令,有效类别为@admin,@set,@sortedset 等,可通过调用 ACL CAT 命令查看完整列表。特殊类别@all 表示所有命令,包括当前和未来版本中存在的所有命令。
-@ 禁止用户调用 类别中的所有命令。
+ subcommand
allcommands +@all 的别名。包括当前存在的命令以及将来通过模块加载的所有命令。
nocommands -@all 的别名,禁止调用所有命令。
# 将 xiaozhang 用户增加密码、设置访问以 name 开头的 key 的权限和 set 权限
127.0.0.1:6379> ACL SETUSER xiaozhang on >abc123 ~name* +set
OK
# 我们可以看到 xiaozhang 目前只具有 set 权限
127.0.0.1:6379> acl list
user xiaozhang on #6ca13d52ca70c883e0...392593af6a84118090 ~name* -@all +set
# 切换用户
127.0.0.1:6379> AUTH xiaozhang abc123
OK
# 设置键值对
127.0.0.1:6379> set name xiaozhang
OK
# 没有获取权限
127.0.0.1:6379> get name
NOPERM this user has no permissions to run the 'get' command or its subcommand

允许和禁止访问某些key

命令 解释
~ 添加可以在命令中提及的键模式。例如~和 allkeys 允许所有键。
*resetkeys 使用当前模式覆盖所有允许的模式。如: ~foo:* ~bar:* resetkeys ~objects:* ,客户端只能访问匹配 object:* 模式的 KEY。
# 将 xiaozhang 用户增加密码、设置访问以 name 开头的 key 的权限和 set 权限
127.0.0.1:6379> ACL SETUSER xiaozhang on >abc123 ~name* +set
OK

密码配置

命令 解释
><password> 将此路码添加到用广的有效路码列表中,例如,smypass 将-mypass, 添加利有效街码列表中,该命令会清除用户的 nopass 标记。每个用户可以有任意数量的有效密码。
<<password> 从有效密码列表中州除此密码。若该用户的有效密码列裘中没有此密码则会返回错误信息
#<hash> 将此 SHA-256 哈希值添加到用户的有效密码列裘中。该哈希值将与为 ACL 用户输人的密码的哈希值进行比较。允许用户将哈希存储在 users.acl 文件中,而不是存儲明文密码。仅接受 SHA-256 哈希值,因为密码哈希必领为 64 个字符且小写的十六进制字符。
!<hash> 「从有效密码列表中州除该哈希值,当不知道哈希值对应的明文是什么时很有用。
nopass 移除该用户已设置的所有密码,并将该用户标记为 nopass 无密码状念:任何密码都可以登录。resetpass 命令可以清除nopass 这种状态
resetpass 情况该用广的所有密码列表。而且移除 nopass 状态。resetpass 之后用户没有关联的密码,同时也无法使用无密码登录,因此resetpass 之后必领添加密码或改为 nopass 状念才能正常登录。
reset 重置用户状态为初始状态。执行以下操作 resetpass, resetkeys, off, -@all.
# 查看用户列表
127.0.0.1:6379> acl list
user alvin off -@all
user default on nopass ~* +@all
# 将 alvin 用户设置密码
127.0.0.1:6379> ACL SETUSER alvin on >abc123
OK
127.0.0.1:6379> acl list
user alvin on #6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090
-@all
user default on nopass ~* +@all
# 切换用户
127.0.0.1:6379> auth alvin abc123
OK
# alvin 没有 set 权限
127.0.0.1:6379> set aaa bbb
NOPERM this user has no permissions to run the 'set' command or its subcommand

ACL常用操作

查看当前活动的 ACL

127.0.0.1:6379> ACL list
1) "user default on nopass ~* +@all"
127.0.0.1:6379>

其中 user 为关键词,default 为用户名,后面的内容为 ACL 规则描述,on 表示活跃的,nopass 表示无密码,~* 表示所有 key,+@all 表示所有命令。所以上面的命令表示活跃用户 default 无密码且可以访问所有命令以及所有数据。

返回所有用户名

127.0.0.1:6379> acl users
1) "default"
127.0.0.1:6379>

返回当前用户名

127.0.0.1:6379> ACL WHOAMI
"default"

查看命令类型,用于授权

127.0.0.1:6379> acl cat
1) "keyspace"
2) "read"
3) "write"
4) "set"
5) "sortedset"
6) "list"
7) "hash"
8) "string"
9) "bitmap"
10) "hyperloglog"
11) "geo"
12) "stream"
13) "pubsub"
14) "admin"
15) "fast"
16) "slow"
17) "blocking"
18) "dangerous"
19) "connection"
20) "transaction"
21) "scripting

创建用户

127.0.0.1:6379> ACL SETUSER alvin
OK
127.0.0.1:6379> acl list
1) "user alvin off -@all"
2) "user default on nopass ~* +@all"

查看用户的 ACL 权限

127.0.0.1:6379> ACL GETUSER xiaozhang
flags
on
passwords
6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090
commands
-@all +set
keys
name*
127.0.0.1:6379>

删除指定的用户

127.0.0.1:6379> ACL DELUSER alvin
1

将 ACL 权限持久化到 aclfile 文件

# 查看 users.acl
[root@alvin-test-os redis]# cat etc/users.acl
# 查看 acl 用户
[root@alvin-test-os redis]# redis-cli --raw
127.0.0.1:6379> acl list
user default on nopass ~* +@all
user xiaozhang on
#6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090 ~name* -@all
+set
# 保存 acl 权限配置
127.0.0.1:6379> acl save
OK
127.0.0.1:6379> exit
# 查看 acl 配置文件已经被写入
[root@alvin-test-os redis]# cat etc/users.acl
user default on nopass ~* +@all
user xiaozhang on
#6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090 ~name* -@all
+set

重新加载ACL

# 查看 acl 用户列表
127.0.0.1:6379> acl list
user default on nopass ~* +@all
user xiaozhang on
#6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090 ~name* -@all
+set
# 重载
127.0.0.1:6379> ACL LOAD
OK
# 查看新用户已经加入
127.0.0.1:6379> acl list
user alvin on #6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090
~name* -@all +set
user default on nopass ~* +@all
user xiaozhang on
#6ca13d52ca70c883e0f0bb101e425a89e8624de51db2d2392593af6a84118090 ~name* -@all
+set

切换用户

AUTH <username> <password>