当前位置：首页 > news >正文

Redis性能瓶颈与安全隐患排查验证纪实

news 文章来源：https://blog.csdn.net/xiexiaojing/article/details/137252437 2024/11/8 6:52:36

在写《Redis怎样保证数据安全？》这篇文章，我是有对redis设置密码需要哪些步骤，设置密码的性能损耗有验证的。这就涉及到要对redis的配置做修改。

开始时我是打算采用直接使用redis配置文件的方式。所以我从redis官网下载了一个默认的配置文件，就打算只将这个配置文件的requirepass注释打开，设置一个密码。

redis我用docker启动，如果 docker run -p 6379:6379 --name ai-redis -v c:/docker/redis.conf:/etc/redis/redis.conf -d redis/redis-stack-server redis-server /etc/redis/redis.conf

使用本机的redis.conf文件拷贝一份到docker容器中启动，docker里可以正常运行，用docker内的redis-cli可以正常访问服务端，但是使用主机的java程序访问就会报 Unexpected end of stream.; nested exception is redis.clients.jedis.exceptions.JedisConnectionException: Unexpected end of stream.

我到咱们「编程一生」用户交流群里，问出了我的问题。咱们群里的朋友提示我说：telnet 可以验证下redis响应

我其实在他说之前是验证过的，当时telnet没有反应。既然人家说了，我就又试了一下。其实这次测试的配置和上次不一样了。我为了测试是不是我redis.conf文件的格式或者编码有问题。redis.conf直接弄了一个空文件，自然也是没有密码的。这时候给出了下面的提示（java客户端连提示和telnet的是一样的）：

DENIED Redis is running in protected mode because protected mode is enabled and no password is set for the default user. In this mode connections are only accepted from the loopback interface. If you want to connect from external computers to Redis you may adopt one of the following solutions: 1) Just disable protected mode sending the command 'CONFIG SET protected-mode no' from the loopback interface by connecting to Redis from the same host the server is running, however MAKE SURE Redis is not publicly accessible from internet if you do so. Use CONFIG REWRITE to make this change permanent. 2) Alternatively you can just disable the protected mode by editing the Redis configuration file, and setting the protected mode option to 'no', and then restarting the server. 3) If you started the server manually just for testing, restart it with the '--protected-mode no' option. 4) Set up an authentication password for the default user. NOTE: You only need to do one of the above things in order for the server to start accepting connections from the outside.

这么具体的问题，第一反应当然是问AI工具了。AI给了这个答案：

您所描述的信息是Redis的一个安全特性。当Redis在没有设置密码的情况下运行时，它会进入保护模式（protected mode）。在这种模式下，Redis仅接受来自本地回环接口（loopback interface）的连接，这通常意味着只能从运行Redis的同一台机器上进行连接。这是为了防止未经授权的外部访问。

如果您希望从外部计算机连接到Redis，您有几个选择：

禁用保护模式：您可以通过在本地回环接口上连接到Redis，并发送命令CONFIG SET protected-mode no来禁用保护模式。但是，请注意，这会增加安全风险，因为任何能够访问Redis服务器的机器都可以进行连接，除非您还实施了其他安全措施（如防火墙规则）。
设置密码：您可以在Redis配置文件中设置密码，方法是修改requirepass字段。例如，在redis.conf文件中，您可以添加或修改以下行：
```
requirepass your_strong_password
```
然后，您需要重启Redis服务器以使更改生效。设置密码后，您需要在连接到Redis时提供该密码。

根据提示，redis配置改成不允许本地接口外运行 protected-mode yes。同样，docker里可以正常运行。但从客户端连接，结果是：

ERR AUTH <password> called without any password configured for the default user. Are you sure your configuration is correct?

另外一个朋友提示我抓包看一下，我就犯愁犯懒了。我是在windows上做的验证，默认不能使用tcmpdump。我是安装了wireshark的。wireshark貌似只能抓tcp和udp协议的包，不支持redis协议。有朋友能给点思路，对我这种懒人在这种情况下怎么抓包吗？

但是根据目前的情况：Redis仅接受来自本地回环接口（loopback interface）的连接，我想到了bind的配置

实际验证，默认bind是127.0.0.1。手动加上

bind 0.0.0.0

问题解决。回归验证时，我建立了一个空redis.conf，只有两样配置，也同样验证问题解决

但实际上这个问题与我真正的验证目标：对redis设置密码需要哪些步骤，设置密码的性能损耗做验证，是跑题的。

所以当时我并没有先全力去解决这个问题，而是使用了另外一种验证方式，不使用redis.conf文件，而是启动参数里直接指定参数，先验证了真正的目标之后再来解决的。启动参数如下：

docker run -p 6379:6379 --name ai-redis -d redis/redis-stack-server redis-server --requirepass 123456 --protected-mode yes

之后，我重新看了一下群里的聊天记录

群里朋友都给出我正确答案了，我没有领会到！！！

总结

总结一下本次排查的过程步骤：

我的整个排查过程使用的是《性能之巅》里介绍的科学法。

科学法采用以下框架：问题->假设->预测->实验->分析。在分析过程中，可以有效利用各种资源：AI技术、网上资料、仔细阅读Redis的错误提示，咨询群里的朋友。此外，在验证问题的过程中，不要因为新的问题，迷失了原本的目标，这里就根据具体目标和问题特点采取合适的验证方法，如直接指定启动参数来验证目标。

Redis性能瓶颈与安全隐患排查验证纪实

相关文章：

Redis性能瓶颈与安全隐患排查验证纪实

【C/C++】C语言实现顺序表

零基础快速上手：搭建类ChatGPT对话机器人的完整指南

Java中的取余与取模运算：概念、区别与实例详解

Excel制作甘特图

Dapr(一) 基于云原生了解Dapr

RESTful的优点

网络检测与监控

基于架构的软件开发方法_1.概述和相关概念及术语

读所罗门的密码笔记07_共生思想（中）

目标检测——工业安全生产环境违规使用手机的识别

Linux/Ubuntu/Debian 终端命令:设置文件/目录权限和组

QA测试开发工程师面试题满分问答3: python的深拷贝和浅拷贝问题

Spire.PDF for .NET【文档操作】演示：合并 PDF 文件并添加页码

VMware使用PowerCLI 修改分布式虚拟交换机的默认上联接口为LAG

什么是EDM邮件推广营销？

NoSQL之 Redis配置

Android U user+root实现方案

CSS3 Transform变形理解与应用

语音克隆技术浪潮：探索OpenAI Voice Engine的奇妙之旅

将Python程序打包为Windows安装包

一个基于大数据的派单管理系统

【单片机 5.3开关检测】

每天五分钟计算机视觉：如何基于滑动窗口技术完成目标的检测？

wpf ContextMenu

增加网站搜索引擎排名的6个准则

【数据库索引】【面试题】【SQL】什么时候不需要用索引？

RISC-V/ARM mcu OpenOCD 调试架构解析

HackTheBox-Mist

游戏引擎中的声音系统

wordpress手机导航栏/seo外链推广平台

b2c网站平台建设/我是做推广的怎么找客户

济南疫情最新通报/西安企业seo外包服务公司

亚马逊国际站官网/北京营销推广网站建设

管理网站怎么做/网站seo推广方案

网站基础功能介绍/衡阳网站优化公司