Redis 6.0 ACL

期待已久的ACL终于来了,大家知道在redis集群中只有一个db,在多项目操作时可以通过key前缀来区分,但是还是能获取其它key,这样就带来了安全风险.

Access Control Lists ACL

在之前 登录可以AUTH pwd 有了ACL后AUTH user pwd

ACL LIST

我们可以使用 ACL LIST 命令来检查当前活动的 ACL

> ACL LIST

1) "user default on nopass ~* +@all"

user 代表是用户

default 代表默认用户(反之 为自己创建的用户)

on 代表激活(反之off,默认新增的为off)

nopass 代表不需要密码

~* 代表可以访问的key

+@all 代表可以操作的command

key

~<pattern>  ~* 所有key

allkeys 别名 ~*

resetkeys 刷新允许的键模式列表

可以多个一起使用,如:

~foo:* ~bar:* resetkeys ~objects:*

只能访问 ~objects:*

command

+<command> 添加命令

-<command> 移除命令

+@<category> 添加一类命令,如:@admin, @set, @sortedset, ... 可以ACL CAT 查看

如:+@geo -@readonly 会排除geo的只读命令

-@<category> 移除一类命令

+<command>|subcommand  允许一个特定的子命令,没有-<command>|subcommand

allcommands 所有cmd 别名 +@all

nocommands 别名 -@all

配置密码

>pwd  添加密码列表

<pwd  移除密码列表

#hash 添加SHA-256值

!hash 移除SHA-256值

nopass 移除所有密码

resetpass 刷新密码列表,并且也不会回到nopass 状态,之后一定要添加密码

没有使用nopass标记的用户并且没有有效密码列表  是不能登录的

reset  重置用户 实际上是执行 resetpass, resetkeys, off, -@all

另外,在默认用户的特殊情况下,拥有 nopass 规则意味着新的连接将通过默认用户的自动身份验证,而不需要任何显式的 AUTH 调用。

ACL CAT

第一大类

127.0.0.1:0>ACL CAT

 1)  "keyspace"

 2)  "read"

 3)  "write"

 4)  "set"

 5)  "sortedset"

 6)  "list"

 7)  "hash"

 8)  "string"

 9)  "bitmap"

 10)  "hyperloglog"

 11)  "geo"

 12)  "stream"

 13)  "pubsub"

 14)  "admin"

 15)  "fast"

 16)  "slow"

 17)  "blocking"

 18)  "dangerous"

 19)  "connection"

 20)  "transaction"

 21)  "scripting"


127.0.0.1:0>ACL CAT set

 1)  "spop"

 2)  "sunionstore"

 3)  "sinter"

 4)  "sdiffstore"

 5)  "sscan"

 6)  "sunion"

 7)  "smembers"

 8)  "sinterstore"

 9)  "sismember"

 10)  "smove"

 11)  "srem"

 12)  "sdiff"

 13)  "srandmember"

 14)  "sort"

 15)  "sadd"

 16)  "scard"

ACL SETUSER

添加用户 - 区分大小写

ACL SETUSER alice

检查一下默认的用户状态:

> ACL LIST

1) "user alice off -@all"

2) "user default on nopass ~* +@all"

设置密码

ACL SETUSER alice on >p1pp0 ~cached:* +get

> AUTH alice p1pp0

OK

> GET foo

(error) NOPERM this user has no permissions to access one of the keys used as arguments

> GET cached:1234

(nil)

> SET cached:1234 zap

(error) NOPERM this user has no permissions to run the 'set' command or its subcommnad

查看单独用户

打开一个新的连接

> ACL GETUSER alice

1) "flags"

2) 1) "on"

3) "passwords"

4) 1) "2d9c75..."

5) "commands"

6) "-@all +get"

7) "keys"

8) 1) "cached:*"

返回 field-value 数组

如果使用RESP3

> ACL GETUSER alice

1# "flags" => 1~ "on"

2# "passwords" => 1) "2d9c75..."

3# "commands" => "-@all +get"

4# "keys" => 1) "cached:*"

新增权限

ACL SETUSER alice ~objects:* ~items:* ~public:*

> ACL LIST

1) "user alice on #2d9c75... ~cached:* ~objects:* ~items:* ~public:* -@all +get"

2) "user default on nopass ~* +@all"

ACL SETUSER alice +set

ACL SETUSER alice +get

> ACL LIST

1) "user alice on #2d9c75... ~cached:* ~objects:* ~items:* ~public:* -@all +get +set"

2) "user default on nopass ~* +@all"

其它

ACL GENPASS

生成随机数、密码

redis.conf

配置文件中可以保存用户信息

如: user worker +@list +@connection ~jobs:* on >ffa9203c493aa99

也可以指定外部acl文件信息

如:aclfile /etc/redis/users.acl

ACL LOAD 重置加载acl文件(如果你修改了acl文件)

ACL SAVE 保存acl文件

哨兵和副本

略...

参考

Redis 6.0 新增功能 - ACL的更多相关文章

  1. Redis 7.0 新功能新特性总览

    说明:本文根据Redis 7 RC2 的release note 整理并翻译 近日,Redis 开源社区发布了7.0的两个预览版.在这两个预览版中,有很多Redis 7.0中新增加的特性,新增加的命令 ...

  2. Redis 4.0新功能介绍

    Redis 的作者 antirez 在三天之前通过博客文章<The first release candidate of Redis 4.0 is out>发布了 Redis 4.0 的第 ...

  3. Redis 6.0 新特性 ACL 介绍

    Redis 6.0 新特性 ACL 介绍 Intro 在 Redis 6.0 中引入了 ACL(Access Control List) 的支持,在此前的版本中 Redis 中是没有用户的概念的,其实 ...

  4. C#基础拾遗系列之二:使用ILSpy探索C#7.0新增功能点

    C#基础拾遗系列之二:使用ILSpy探索C#7.0新增功能点   第一部分: C#是一种通用的,类型安全的,面向对象的编程语言.有如下特点: (1)面向对象:c# 是面向对象的范例的一个丰富实现, 它 ...

  5. C#2.0新增功能06 协变和逆变

    连载目录    [已更新最新开发文章,点击查看详细] 在 C# 中,协变和逆变能够实现数组类型.委托类型和泛型类型参数的隐式引用转换. 协变保留分配兼容性,逆变则与之相反. 以下代码演示分配兼容性.协 ...

  6. Redis 5.0新功能介绍

    Redis 5.0 Redis5.0版是Redis产品的重大版本发布,我们先看一下它的最新特点: 新的流数据类型(Stream data type) https://redis.io/topics/s ...

  7. Redis 6.0 访问控制列表ACL说明

    背景 在Redis6.0之前的版本中,登陆Redis Server只需要输入密码(前提配置了密码 requirepass )即可,不需要输入用户名,而且密码也是明文配置到配置文件中,安全性不高.并且应 ...

  8. C#基础拾遗系列之二:C#7.0新增功能点

    第一部分: C#是一种通用的,类型安全的,面向对象的编程语言.有如下特点: (1)面向对象:c# 是面向对象的范例的一个丰富实现, 它包括封装.继承和多态性.C#面向对象的行为包括: 统一的类型系统 ...

  9. C#7.0新增功能点

    原文地址:  https://www.cnblogs.com/runningsmallguo/p/8972678.html 第二部分:C#7.0新增的功能 (1)数字字面量的提升: C#7中的数字文字 ...

随机推荐

  1. Daily Practice 2016-09-20

    算法 回文(Palindrome)数字:判断一个数字是不是回文数字,不能使用另外的空间. 提示: 负数可以是回文数字吗? 如果转为字符串需要新分配空间 你也许想到了反转数字,但反转数字可能溢出,怎样处 ...

  2. Windows系统在Python2.7环境下安装numpy, matplotlib, scipy - Lichanghao Blog

    numpy, matplotlib, scipy三个包是科学计算和绘图的利器.安装它们既可以在网上下载exe安装包,也可以用python内置的包管理工具来下载安装,后者较为方便. 这几天做美赛要用到, ...

  3. 【快速上手】Git的使用教程

    创建Git仓库 git init 查看当前仓库情况 git status 添加修改 git add (file) or git add . 查看未提交的修改 git diff 撤销提交操作 git r ...

  4. Java对接微信登录

    今天我们来对接微信开放平台的网站应用登录 首先上文档链接:https://developers.weixin.qq.com/doc/oplatform/Website_App/WeChat_Login ...

  5. js轮询及踩过的坑

    背景 下午四点,天气晴朗,阳光明媚,等着下班产品:我希望页面上的这个数据实时变化开发:···,可以,用那个叫着WebSocket的东西,再找一个封装好框架,如:mqtt(感觉自己好机智)产品:要开发好 ...

  6. Python基础--动态传参

    形参的顺序: 位置 *arg     默认值  **args  ps:可以随便搭配,但是*和**以及默认值的位置顺序不能变 *,** 形参:聚合 位置参数* >>元祖 关键字** > ...

  7. Java8 新特性2——强大的Stream API

    强大的Stream API Stream 是 Java8 中处理集合的关键抽象概念,它可以指定你希望对集合进行的操作,可以执行非常复杂的查找.过滤和映射数据等操作.简而言之,Stream API 提供 ...

  8. 逐浪CMS全面升级为.NET Core 3.0性能大提升

    微软发布了.Net Core 3.0正式版,逐浪CMS也在第一时间做了全面升级,并做了一系列的优化和调整,性能大幅提升,并解决了一些历史遗留问题,添加了一些新的功能.如后台固有小程序功能做了升级,功能 ...

  9. [android]com.android.support:appcompat-v7:XXX 包导入无法Build

    在学习<Android编程权威指南>时,按书中要求添加com.android.support:appcompat的依赖,然后编译不通过,提示如下问题: 大概意思是,Android Pie之 ...

  10. 分布式框架Celery(转)

    一.简介 Celery是一个异步任务的调度工具. Celery 是 Distributed Task Queue,分布式任务队列,分布式决定了可以有多个 worker 的存在,队列表示其是异步操作,即 ...