linux12 - Redis -> 03ACL安全策略发布与订阅
Posted FikL-09-19
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了linux12 - Redis -> 03ACL安全策略发布与订阅相关的知识,希望对你有一定的参考价值。
文章目录
redis数据持久化
# 1、RDB:将数据通过二进制的方式保存下来,性能比较好 save m n
[root@docker ~]# vim /usr/local/redis/conf/redis.conf #默认是开启的
save 900 1 #900秒内至少有1个key被改变则做一次快照
save 300 10 #300秒内至少有10key被改变做一次快照
save 60 10000 #60秒内至少有10000个key被改变则做一次快照
bgsave ==> dump.rdb
save原理: 写入数据的时候可能会导致客户端阻塞的,同步
bgsave原理: 会有一个子进程,进行数据持久化(额外开销),异步
# RDB总结:
# 优点:
速度快,适合用作备份,主从复制也是基于RDB持久化功能实现的
# 致命性缺点:
会有数据丢失、导致服务停止几秒
# 2、AOF:将命令保存下来,恢复数据慢
类似于mysql binlog日志,重新会恢复到内存中
# AFO优点: 不丢数据 aooendonly yes 开启AOF持久化
# AOF 分别有三种备份策略,
[always:每个命令都记录],不丢数据,但是没错都要执行,IO比较高
[everysec:每秒记录一次],减少IO
[no:看机器的心情高兴了 就记录],全自动
# 3、混合模式:取两者方式优点集合
一、Redis新特性ACL安全策略
在Redis6之前的版本,我们只能使用requirepass参数给default用户配置登录密码,同一个Redis集群的所有开发都共享default用户,难免会出现误操作把别人的key删掉或者数据泄露的情况。
因此Redis6版本退出了ACL(Access Controller List)访问控制权限的功能,基于次功能,我们可以设置多个用户,并且给每一个用户单独设置命令权限和数据权限。为了保证向下兼容性,Redis6保留了default用户和使用requirepass 的方式给default用户设置密码,默认情况下default用户拥有Redis最大权限,我们使用的redis-cli链接时如果没有指定用户,默认也是default。
1.配置ACL
#1.查看当前所有用户
127.0.0.1:6379> acl list
user default on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~* +@all
#2.配置ACL
127.0.0.1:6379> config rewrite
OK #执行config rewrite重写配置后会自动在conf文件最下面新增一行记录配置default的密码和权限
[root@redis01 ~]# cd /usr/local/redis/conf
[root@redis01 ~]# egrep 'user default on' /usr/local/redis/conf/redis.conf
user default on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~* +@all
2.Redis设置密码
在Redis6之前,Redis只有一个default用户也是Redis中的超级管理员用户,如果要将其设置密码,需要修改Redis的配置文件
#设置密码
[root@redis01 ~]# vim /usr/local/redis/conf/redis.conf
requirepass 123 #可将此内容注释即没有密码,或修改其他密码
#验证
[root@redis01 ~]# systemctl restart redis
[root@redis01 ~]# redis-cli
127.0.0.1:6379> set a b
OK
3.使用ACL
我们可以直接在conf配置文件中使用上面default用户ACL这行DSL命令设置用户权限,或者我们也可以配置外部aclfile配置权限。配置aclfile需要先将conf中配置的DSL注释或者删除。
# 因为Redis不允许两种ACL管理方式同时使用,否则在启动Redis的时候会报错
#1.创建用户
127.0.0.1:6379> acl setuser test #创建用户(不设置密码权限默认没有密码没有任何权限)
OK
127.0.0.1:6379> acl list #查看用户
user default on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~* +@all
user test on -@all
#2.启用用户
(用户默认情况下,是未激活状态)
127.0.0.1:6379> acl setuser test on #激活用户
OK
127.0.0.1:6379> acl list
user default on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~* +@all
user test on -@all
#3.给用户增加密码
127.0.0.1:6379> acl setuser test on >123
OK
127.0.0.1:6379> acl list
user default on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~* +@all
#+@all代表拥有所有权限
user test on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 -@all #-@all代表所有权限都没有
#4.查看当前用户
127.0.0.1:6379> acl whoami
"default" #可以看做Redis的超级用户,拥有所有权限
#5.登录普通用户,是没有acl权限的
[root@redis01 ~]# redis-cli
127.0.0.1:6379> auth test 123
OK
127.0.0.1:6379> acl list
(error) NOPERM this user has no permissions to run the 'acl' command or its subcommand
#6.认证
127.0.0.1:6379> auth default 123
OK
127.0.0.1:6379> acl whoami
"default"
#7.给用户设置权限
127.0.0.1:6379> acl setuser test on >123 ~name* +@all #给test用户以name开头的key加上所有权限
127.0.0.1:6379> acl setuser test on >123 ~name* +set #给test用户以name开头的key加上set权限
OK
127.0.0.1:6379> acl list
1) "user default on nopass ~* +@all"
2) "user test on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~name* +@all"
127.0.0.1:6379> acl setuser dashuju #创建大数据用户
OK
127.0.0.1:6379> acl setuser dashuju on >123 ~dashuju* +set +get #给大数据用户的dashuju开头的key授set get权限
OK
127.0.0.1:6379> acl list
1) "user dashuju on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~dashuju* -@all +set +get"
2) "user default on nopass ~* +@all"
3) "user test on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~name* +@all"
#8.展示所有的用户
127.0.0.1:6379> acl list
user dashuji on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~dashuju* -@all +get +set
user dashuju off -@all
user default on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~* +@all
user test on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 -@all
#9.展示所有用户名
127.0.0.1:6379> acl users
dashuji
dashuju
default
test
#10.展示当前用户
127.0.0.1:6379> acl whoami
"default"
#11.展示当前可授权限
127.0.0.1:6379> acl cat
1) "keyspace"
2) "read"
3) "write"
4) "set"
#12.查看一个用户所有的key
127.0.0.1:6379> acl getuser test
flags
on
passwords
a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3
commands
-@all
keys
#13.删除一个用户
127.0.0.1:6379> acl list
user dashuju off -@all
user default on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~* +@all
127.0.0.1:6379> acl deluser dashuji s#删除大数据用户
user dashuju off -@all
user default on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~* +@all
user test on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 -@all
4.保存ACL
我们可以使用 acl save 命令将当前服务器中的 ACL 权限持久化到 aclfile 中,如果没持久化就关闭 redis 服务, 那些 ACL 权限就会丢失,因此我们每次授权之后一定要记得 ACL SAVE 将 ACL 权限持久化到 aclfile中。
#1.首先在redis.conf配置文件中启用aclfile文件
[root@redis01 conf]# vim /usr/local/redis/conf/redis.conf
aclfile /usr/local/redis/conf/users.acl
#2.重启redis,如果没有user.acl文件可以手动创建一个
[root@redis01 ~]# systemctl restart redis
[root@redis01 conf]# ll
总用量 84
-rw-r--r-- 1 root root 85015 5月 1 20:29 redis.conf
[root@redis01 conf]# touch users.acl
[root@redis01 conf]# ll
总用量 84
-rw-r--r-- 1 root root 85015 5月 1 20:29 redis.conf
-rw-r--r-- 1 root root 0 5月 1 20:31 users.acl
#3.redis-cli连接到server
[root@redis01 ~]# redis-cli
127.0.0.1:6379> acl list
1) "user default on nopass ~* +@all"
127.0.0.1:6379> acl setuser test on >123 ~name* +@all
OK
127.0.0.1:6379> acl list
1) "user default on nopass ~* +@all"
2) "user test on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~name* +@all"
127.0.0.1:6379> acl save
OK
#4.查看文件是否存入内容
[root@redis01 conf]# ll #没acl save之前
总用量 84
-rw-r--r-- 1 root root 84893 5月 1 20:33 redis.conf
-rw-r--r-- 1 root root 0 5月 1 20:31 user.acl
[root@redis01 conf]# ll #acl save之前后
总用量 88
-rw-r--r-- 1 root root 84893 5月 1 20:33 redis.conf
-rw-r--r-- 1 root root 124 5月 7 05:41 users.acl #可以看见文件已有大小,内容已存在
5.加载用户信息
我们也可以直接在 aclfile 中修改或新增 ACL 权限,修改之后不会立刻生效,我们可以在 redis 命令行中执行 acl load 将该 aclfile 中的权限加载至 redis 服务中
#1.修改users.acl文件内容
[root@redis01 conf]# vim users.acl #添加一行tests用户信息
user default on nopass ~* +@all
user test on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~name* +@all
user tests on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~name* +@all
#2.使用命令重新加载用户信息会生成一个文件中指定的新用户tests
127.0.0.1:6379> acl load
OK
127.0.0.1:6379> acl list
1) "user default on nopass ~* +@all"
2) "user test on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~name* +@all"
3) "user tests on #a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3 ~name* +@all"
二、Redis发布与订阅
Redis 通过 PUBLISH 、 SUBSCRIBE 等命令实现了订阅与发布模式, 这个功能提供两种信息机制, 分别是 订阅/发布到频道和订阅/发布到模式, 下文先讨论订阅/发布到频道的实现, 再讨论订阅/发布到模式的实现
1.角色(发布者、消费者、频道)
# 1、发布者
发布者最主要的工作就是将信息发布到频道中
# 2、消费者
消费者最主要的功能就是接收消费频道中的信息
# 3、频道
频道最主要的功能是存储发布者的信息,然后分别发给每一个消费者
2.模型
3.发布订阅队列
1、publish 发布 subscribe 订阅
#1.发布一个test管道内容是123
127.0.0.1:6379> publish test 123
(integer) 1
127.0.0.1:6379> PUBLISH test 123
0
127.0.0.1:6379> PUBLISH test 123
1
127.0.0.1:6379> PUBLISH test abcd
1
#2.订阅(实时监控test管道的内容) #复制一下会话窗口 监听第一个发布的频道
127.0.0.1:6379> subscribe test
Reading messages... (press Ctrl-C to quit)
1) "subscribe"
2) "test"
3) (integer) 1
1) "message"
2) "test"
3) "123"
以上是关于linux12 - Redis -> 03ACL安全策略发布与订阅的主要内容,如果未能解决你的问题,请参考以下文章
Linux之acl库的安装与使用(限制Linux某用户的访问权限)