早期 redis 权限管理功能
在早期 redis 的权限管理非常弱,还发生过大规模的生产系统的 redis 暴露在公网上,无密码保护,被人将数据加密后进行勒索的事件。后来即时加上了密码保护,也仅仅只是一个是否允许连接的控制,不能分用户,分权限,也一直这么用到现在。前些天看到 redis 7 发布,里面提到升级了新的 ACL 功能,赶紧看了一下,发现有一定的改善,但是还是不太够。
旧版本兼容
如果还按照老版本进行配置,那么新版的 redis 还是能够直接通过密码字符串来连接,以便和旧版本兼容。通过执行命令 ACL LIST 可以看出系统中有一个名称叫 default 的用户。默认情况下只输入密码就是指通过这个用户来连接 redis 。
127.0.0.1:37382> acl LIST
1) "user default on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* &* +@all"
新版的用户管理
增加用户
我们增加一个拥有全部权限的 admin 用户。
127.0.0.1:37382> ACL SETUSER admin on >Taf&VFIGHlyW*!4iKq#F*#WsYizHkA# ~* +@all
OK
127.0.0.1:37382> ACL LIST
1) "user admin on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* resetchannels +@all"
2) "user default on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* &* +@all"
127.0.0.1:37382>
这个命令各个部分的解释如下:
- ACL SETUSER 是用来进行用户管理的命令,后面是命令的参数
- admin 是要设置的用户的登录名称
- on 是指设置用户的状态 。on 表示可用状态,off 表示不可用状态
- Taf&VFIGHlyW!4iKq#F#WsYizHkA# 是要设置的用户的密码
- ~* 是一个正则表达式,用来指明用户可以对哪些 key 进行访问。这里指明对所有的key都可以访问。这个表达式可以是多个
- +@all 是对用户执行命令权限的设置。这里是指的对所有命令都有权限执行
通过 ACL LIST 命令可以查看当前系统中用户的列表信息。这里可以看到除了 default 用户,新增加了一个 admin 的用户
修改用户
ACL SETUSER 命令可以针对一个用户多次执行。第一次执行增加用户,后续执行的时候就是对用户进行修改了。例如我们新建一个 atu 的账号,并渐次完善相关设置
127.0.0.1:37382> ACL SETUSER atu
OK
127.0.0.1:37382> ACL LIST
1) "user admin on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* resetchannels +@all"
2) "user atu off resetchannels -@all"
3) "user default on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* &* +@all"
127.0.0.1:37382>
这个命令增加了一个 atu 用户,没有设置其他任何信息。通过 ACL LIST 命令查看,可以看到这个用户为不可用状态(off),并且没有任何权限(-@all)
在另一个终端通过 auth 命令进行该用户鉴权,提示如下
127.0.0.1:37382> AUTH atu
(error) WRONGPASS invalid username-password pair or user is disabled.
127.0.0.1:37382>
现在我们将该用户设置为可以状态并为用户设置密码 123456
127.0.0.1:37382> ACL SETUSER atu >123456
OK
127.0.0.1:37382> ACL LIST
1) "user admin on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* resetchannels +@all"
2) "user atu on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 resetchannels -@all"
3) "user default on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* &* +@all"
在另一个终端用 atu 用户进行连接成功
127.0.0.1:37382> auth atu 123456
OK
127.0.0.1:37382> get name
(error) NOPERM this user has no permissions to run the 'get' command
127.0.0.1:37382>
但是我们使用 get 命令获取一个 key 的值的时候提示没有权限,所以我们可以通过下面的操作为这个用户增加 get 命令的权限
127.0.0.1:37382> ACL SETUSER atu +get
OK
127.0.0.1:37382> ACL LIST
1) "user admin on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* resetchannels +@all"
2) "user atu on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 resetchannels -@all +get"
3) "user default on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* &* +@all"
但是,当我们在另一个终端用这个 atu 用户获取一个 key 的值的时候失败了。显示如下:
127.0.0.1:37382> get name
(error) NOPERM this user has no permissions to access one of the keys used as arguments
这提示用户没有获取 name key 值的权限。那么我们为增加所有 key 值的访问权限。
127.0.0.1:37382> ACL SETUSER atu ~*
OK
127.0.0.1:37382> ACL LIST
1) "user admin on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* resetchannels +@all"
2) "user atu on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~* resetchannels -@all +get"
3) "user default on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* &* +@all"
这样用 atu 用户访问 name key 值就可以了。当然,还是不能设定 key 的值。
127.0.0.1:37382> get name
"yanggch"
127.0.0.1:37382> set age 10
(error) NOPERM this user has no permissions to run the 'set' command
刚才那样让用户有所有 key 的存储权限显然不太合适,需要让制定的用户对某一些 key 有访问的权限。例如我们想让 atu 这个用对以 cached:开头的这些 key 有访问权限,我们就可以为这个用户设定这个权限。
127.0.0.1:37382> ACL SETUSER atu resetkeys ~cached:*
OK
127.0.0.1:37382> ACL SETUSER atu ~shop:*
OK
127.0.0.1:37382> ACL LIST
1) "user admin on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* resetchannels +@all"
2) "user atu on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~cached:* ~shop:* resetchannels -@all +get"
3) "user default on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* &* +@all"
127.0.0.1:37382> set cached:1001 welcome
OK
这里有一个关键字 resetkeys 表示覆盖设置,因为原来有所有 key 的权限,现在加一个 ~cache 的权限无法生效,所以有所有 key 访问权限的时候必须要加 resetkeys 关键字将所有 key 权限取消掉。不加 resetkeys 关键字的时候,则是追加模式。
这个时候再用 atu 访问 name 和 cached:1001 。结果如下:
127.0.0.1:37382> get name
(error) NOPERM this user has no permissions to access one of the keys used as arguments
127.0.0.1:37382> get cached:1001
"welcome"
127.0.0.1:37382>
这种带前缀的 key 的设计方法是 redis 中常用的一种方法。前缀可以起到类似数据表的作用。我们通过设置用户能够访问的key的前缀的权限,达到了类似数据库中分库分表设置权限的效果。
对应命令权限则是通过 + 和 - 两个操作来处理,+ 表示增加某个命令的权限,- 表示取消某个命令的权限。@all 则是特殊的标识,标识所有命令。一般情况下,我们是让用户拥有所有的redis 命令,然后将一些敏感命令权限取消的方式来设置用户的命令权限。这样设置比较简单。例如比较危险的 flushdb 和 flushall 这两个删除所有数据的命令,我们一般都不让普通用户使用。这里将 atu 这个用户设置为拥有所有命令权限,但是取消 flushdb 和 flushall 这两个命令的权限,做法如下:
127.0.0.1:37382> ACL SETUSER atu +@all
OK
127.0.0.1:37382> ACL SETUSER atu -flushdb -flushall
OK
127.0.0.1:37382> ACL LIST
1) "user admin on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* resetchannels +@all"
2) "user atu on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~cached:* ~shop:* resetchannels +@all -flushall -flushdb"
3) "user default on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* &* +@all"
这样就不用担心 atu 用户删库跑路了。
启用外部 ACL 文件
上面在命令行中设置的用户权限,不能持久化,redis 重启后就失效了。redis 还采用了一种外部 acl 文件的方式。找到 redis 配置文件中 如下部分并将注释取消掉,设置正确的外部 acl 文件名称。
# Using an external ACL file
#
# Instead of configuring users here in this file, it is possible to use
# a stand-alone file just listing users. The two methods cannot be mixed:
# if you configure users here and at the same time you activate the external
# ACL file, the server will refuse to start.
#
# The format of the external ACL user file is exactly the same as the
# format that is used inside redis.conf to describe users.
#
aclfile /data/redis7/users.acl
设置外部的 acl 文件为 /data/redis7/users.acl。大家根据自己的环境修改对应的路径并建立一个空的 users.acl 文件。然后将上章节中建立的 admin 用户的配置信息拷贝到改文件中。
user admin on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* resetchannels +@all
然后,重启启动 redis 即可。现在可以用用户 admin 和对应的密码来连接redis 了
[root@hecs-99107 bin]# ./redis-cli -p 37382
127.0.0.1:37382> auth admin Taf&VFIGHlyW*!4iKq#F*#WsYizHkA#
OK
127.0.0.1:37382> ACL LIST
1) "user admin on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* resetchannels +@all"
注意:重启后不带用户,直接输入默认用户密码的连接方式就失效了。
我们再增加普通的 atu 用户,并且执行 ACL SAVE 命令,最新的用户配置信息就保持到 users.acl 文件中了。
127.0.0.1:37382> ACL SETUSER atu on >123456 ~cached:* ~shop:* +@all -flushdb -flushall
OK
127.0.0.1:37382> ACL LIST
1) "user admin on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* resetchannels +@all"
2) "user atu on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~cached:* ~shop:* resetchannels +@all -flushdb -flushall"
127.0.0.1:37382> ACL SAVE
OK
查看一下 users.acl 文件,发现多了一行配置
[root@hecs-99107 redis7]# vi users.acl.bak
user admin on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* resetchannels +@all
user atu on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~cached:* ~shop:* resetchannels +@all -flushdb -flushall
如果手工在 users.acl 中增加一行配置如下
user atu2 on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~cached:* ~shop:* resetchannels +@all -flushdb -flushall
就增加了一个配置和 atu 一模一样,登录名称为 atu2 的用户。但是这个时候如果 redis 没有重启,这个新配置是不生效的,可以执行 ACL LOAD 命令重新载入最新的 acl 配置信息。
127.0.0.1:37382> ACL LIST
1) "user admin on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* resetchannels +@all"
2) "user atu on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~cached:* ~shop:* resetchannels +@all -flushdb -flushall"
127.0.0.1:37382> ACL LOAD
OK
127.0.0.1:37382> ACL LIST
1) "user admin on #eb1c66c230df28518559872a792755e1bd7558cb35d58ae9c52689b3dc9ef335 ~* resetchannels +@all"
2) "user atu on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~cached:* ~shop:* resetchannels +@all -flushdb -flushall"
3) "user atu2 on #8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 ~cached:* ~shop:* resetchannels +@all -flushdb -flushall"
后记
redis 新的用户管理方面的内容就先聊到这里。其中 key 的配置因为支持正则表达式,所以还能给出各种不同的表达式,这个由正则表达式的达人们来去实验吧。
不知道大家学废了没有呢。