5 .管理5.1安全Redis以简洁为美,在安全级别上很少工作。
5.1.1信任环境在生产环境中运行时,不允许外部直接连接到Redis服务器,应该通过APP应用进行中继,在信任环境中运行是保证Redis安全的最重要方法。
Redis的默认配置接受来自任何地址的请求。 也就是说,无论在具有公共网络IP的任何服务器上启动Redis服务器,都可以从外部直接访问。 要更改此设置,请在配置文件中更改bind参数。 例如,要仅允许本机APP应用程序连接到Redis,请将bind参数更改为" bind 127.0.0.1 "
bind参数只能绑定一个地址。 必须通过防火墙设置更自由的访问规则。
5.1.2在数据库密码配置文件的requirepass参数中设置Redis密码。 每次客户端连接到Redis时,都必须发送密码。 否则,Redis将拒绝从客户端执行命令。
由于Redis性能极高,而且即使输入错误的密码,Redis也不会主动延迟(考虑到Redis的单线程),所以所有攻击者都可以包罗万象地破译Redis的密码(1秒钟尝试十几万个密码)
5.1.3命令命名Redis支持重命名配置文件中的命令,例如将CONFIG命令重命名为更复杂的名称,以便只有自己的APP应用程序可以使用该命令。
如果直接禁用命令,可以将命令重命名为字符串。
无论是设置 注意 密码还是重命名命令,都必须确保配置式的安全性。 否则,就没有任何意义。
5.2通信协议Redis支持两种通信协议。 统一的二进制安全请求协议(未定义请求协议); 用telnet程序输入比较直观简单的协议。
5.2.1简单协议适用于通过telnet程序与Redis进行通信。 其格式由命令和每个参数之间的空格分隔,例如“退出栏”和“设置栏”。 Redis在分析简单协议时无法输入二进制字符,因为它只是用空格分隔参数。 可以用telnet程序进行测试。
5.2.2集成请求协议来自Redis1.2,其命令格式与多行字符串回复的格式非常相似。 例如,如何编写set foo bar集成请求协议是: *3 rn $3 rnsetrn $3 rnfoorr
Redis的AOF文件和从主数据库的复制对主数据库从数据库发送的内容使用了集成请求协议。 如果只是想通过telnet向Redis服务器发送命令,使用简单的协议就可以了。
5.3有助于管理redis的几个命令5.3.1耗时的命令日志如果一个命令的执行时间超过了限制,redis会将该命令的执行时间等信息添加到耗时的命令日志(slow log )中,供开发人员查看可以在配置文件的slowlog-log-slower-than参数中设置此限制。 单位微秒(1000,000微妙等于1秒),默认值为10,000。 耗时的命令日志存储在内存中,并且可以使用配置文件slow-log-max-len参数限制记录的数量。
5.3.2命令监视MONITOR命令,监视redis执行的所有命令。 打印自MONITOR打开以来执行的所有命令。
MONITOR命令严重影响Redis的性能,一个客户端使用MONITOR命令时,Redis的负载能力将下降约一半。 因此,MONITOR命令仅适用于调试和纠错。