一个场景:目前越来越多的业务需要远程读写Redis,而Redis 本身不提供 SSL/TLS 的支持,在需要安全访问的环境下。

这时候就需要额外的手段进行加密认证,这里有两种手段:spiped 和 ngx stream proxy

现在服务端起一个监听在127 的 Redis server

1、使用spiped

[root@ ~]# wget http://www.tarsnap.com/spiped/spiped-1.6.0.tgz

[root@ ~]# tar xf spiped-1.6.0.tgz

[root@ ~]# cd spiped-1.6.0

[root@ ~]# tar xf spiped-1.6.0.tgz

[root@ ~]# cd spiped-1.6.0

[root@ spiped-1.6.0]# make && make install

[root@ spiped-1.6.0]# /usr/local/bin/spiped -h

spiped: illegal option -- -h

usage: spiped {-e | -d} -s <source socket> -t <target socket> -k <key file>

    [-DFj] [-f | -g] [-n <max # connections>] [-o <connection timeout>]

    [-p <pidfile>] [-r <rtime> | -R]

       spiped -v

创建key,并将key分发到代理客户端

[root@ ~]# dd if=/dev/urandom bs=32 count=1 of=/var/spiped/redis_proxy.key

启动服务端和客户端代理:

#服务端:

[root@ ~]# /usr/local/bin/spiped -d -s '[0.0.0.0]:6010' -t '[127.0.0.1]:6379' -k /var/spiped/redis_proxy.key  -p /var/spiped/redis_proxy_srv.pid

#客户端代理:

[root@ ~]# /usr/local/bin/spiped -e -s '[127.0.0.1]:6379' -t '[x.x.x.x]:6010' -k /var/spiped/redis_proxy.key  -p /var/spiped/redis_proxy_cli.pid

客户端测试:

[root@ ~]# /usr/local/redis/bin/redis-cli -h 127.0.0.1 -p 6379 -a redis@passwd ping

PONG

参考:http://www.tarsnap.com/spiped.html

2、使用ngx stream proxy

配置自签证书,略。

证书和key可以同时给服务端代理和客户端代理使用

ngx_stream_ssl_module模块(1.9.0)为流代理服务器提供必要的支持,以使用SSL / TLS协议。 默认情况下不构建此模块,应使用--with-stream_ssl_module配置参数启用它。

编译nginx需要加入--with-stream --with-stream_ssl_module 选项

服务端代理配置:

upstream redis_server{

    server 127.0.0.1:6379 max_fails=3 fail_timeout=10s;

}

server{

    listen 6010 ssl;

    ssl_certificate /data/ssl/stream_proxy/stream_proxy.crt;      #服务端证书

    ssl_certificate_key /data/ssl/stream_proxy/stream_proxy.key;  #服务端key

    ssl_verify_client on;                                             #开启对客户端的认证

    ssl_client_certificate /data/ssl/stream_proxy/cacert.pem;         #用于认证客户端ca证书

    ssl_session_timeout 10m;

    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;

    ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

    proxy_connect_timeout 5s;

    proxy_timeout 5s;

    proxy_pass redis6001_server;

    error_log /data/logs/redis_sslproxy_srv.log debug;

}

客户端代理配置:

upstream redis_server{

    server x.x.x.x:6010 max_fails=3 fail_timeout=10s;

}

server{

    listen 127.0.0.1:6379;

    proxy_ssl_name stream_proxy;     #与证书中的hostname一致,覆盖用于验证后端的hostname,并通过SNI在与后端建立连接时传递,默认proxy_pass地址的host部分会被使用。

    proxy_ssl on;

    proxy_ssl_certificate  /data/ssl/stream_proxy/stream_proxy.crt;      #客户端证书

    proxy_ssl_certificate_key  /data/ssl/stream_proxy/stream_proxy.key;  #客户端key

    proxy_ssl_verify  on;                                                   #开启对服务端的认证

    proxy_ssl_trusted_certificate /data/ssl/stream_proxy/cacert.pem;        #用于认证服务端ca证书

    ssl_session_timeout 10m;

    proxy_ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;

    proxy_ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

    proxy_connect_timeout 5s;

    proxy_timeout 5s;

    proxy_pass redis_server;

    error_log /data/logs/redis_sslproxy_cli.log debug;

}

如果仅仅是实现ngx stream proxy加密不认证的话,只需要在服务端代理配置好证书,客户端代理配置proxy_ssl on即可

参考链接:

1、https://blog.lyz810.com/article/2016/06/ngx_stream_proxy_module_doc_zh-cn/

2、https://blog.lyz810.com/article/2016/06/ngx_stream_ssl_module_doc_zh-cn/

3、https://my.oschina.net/foreverich/blog/1517128?utm_medium=referral

如何对tcp流认证并加密的更多相关文章

  1. Kcptun 是一个非常简单和快速的,基于KCP 协议的UDP 隧道,它可以将TCP 流转换为KCP+UDP 流

    本博客曾经发布了通过 Finalspeed 加速 Shadowsocks 的教程,大家普遍反映能达到一个非常不错的速度.Finalspeed 虽好,就是内存占用稍高,不适合服务器内存本来就小的用户:而 ...

  2. TCP 流模式与UDP数据报模式(转)

    TCP流模式与UDP数据报模式http://blog.csdn.net/s3olo/article/details/7914717 数据报(datagram)通常是指起始点和目的地都使用无连接网络服务 ...

  3. 自学Zabbix11.4 Zabbix SNMP认证与加密配置 SNMPv3

    点击返回:自学Zabbix之路 点击返回:自学Zabbix4.0之路 点击返回:自学zabbix集锦 自学Zabbix11.4 Zabbix SNMP认证与加密配置 SNMPv3 1. 增加snmp ...

  4. SNMP学习笔记之SNMPv3的报文格式以及基于USM的认证和加密过程

    下面我们就主要讲解SNMPv3的报文格式以及基于USM的认证和加密过程! 1.SNMPv3的消息格式 如下图1: 图 1 其中,整个SNMPv3消息可以使用认证机制,并对EngineID.Contex ...

  5. TCP流嗅探和连接跟踪工具tcpick

    TCP流嗅探和连接跟踪工具tcpick   由于网络通信协议众多,TCP连接状态众多,所以TCP分析较为复杂.Kali Linux提供一款专用工具tcpick.该工具支持在线实时嗅探和离线文件嗅探.它 ...

  6. TCP系列31—窗口管理&流控—5、TCP流控与滑窗

    一.TCP流控 之前我们介绍过TCP是基于窗口的流量控制,在TCP的发送端会维持一个发送窗口,我们假设发送窗口的大小为N比特,网络环回时延为RTT,那么在网络状况良好没有发生拥塞的情况下,发送端每个R ...

  7. Socket 编程中,TCP 流的结束标志与粘包问题

    因为 TCP 本身是无边界的协议,因此它并没有结束标志,也无法分包. socket和文件不一样,从文件中读,读到末尾就到达流的结尾了,所以会返回-1或null,循环结束,但是socket是连接两个主机 ...

  8. 使用同一个目的port的p2p协议传输的tcp流特征相似度计算

    结论: (1)使用同一个目的port的p2p协议传输的tcp流特征相似度高达99%.如果他们是cc通信,那么应该都算在一起,反之就都不是cc通信流. (2)使用不同目的端口的p2p协议传输的tcp流相 ...

  9. [TCP/IP] TCP流和UDP数据报之间的区别

    TCP流和UDP数据报之间的区别 1.TCP本身是面向连接的协议,S和C之间要使用TCP,必须先建立连接,数据就在该连接上流动,可以是双向的,没有边界.所以叫数据流 ,占系统资源多 2.UDP不是面向 ...

随机推荐

  1. 107个JS常用方法(持续更新中)

    1.输出语句:document.write(""); 2.JS中的注释为//3.传统的HTML文档顺序是:document->html->(head,body)4.一个 ...

  2. postman自动化,测试脚本

    //获取当前时间的时间戳 function getTimestamp(len=10) { // 如果需要自动获取则将此处代码放开 // var tmp = Date.parse( new Date() ...

  3. docker制作tomcat镜像

    准备cestos镜像.tomcat.jdk cestos是docker pull下来的 在/opt/下创建docker:mkdir -p /opt/docker 把tomcat和jdk解压到docke ...

  4. Spark入门到精通--(第七节)环境搭建(服务器搭建)

    Spark搭建集群比较繁琐,需要的内容比较多,这里主要从Centos.Hadoop.Hive.ZooKeeper.kafka的服务器环境搭建开始讲.其中Centos的搭建不具体说了,主要讲下集群的配置 ...

  5. msmq访问格式

    //集群测试,以下格式不行(应是Host映射之类没配置OK) //_MSMQPath = @"FormatName:DIRECT=TCP:msmq496-ha\private$\496-10 ...

  6. python生成数据后,快速导入数据库

    1.使用python生成数据库文件内容 # coding=utf-8import randomimport time def create_user():    start = time.time() ...

  7. vscode编译发布exe

    命令1: dotnet build -r win-x64 命令2: dotnet publish -c Release -r win-x64 -r|--runtime:(window rid或者lin ...

  8. 【MySQL】sort by then group by

    tb: ### 需求:根据id进行分组,找到分组内hour中最大的一项 错误写法: select id, max(hour) from tb group by id; 正确的写法: ### 需求:根据 ...

  9. Mysql 5.7优化

    为了达到数据库胡最佳性能 1. 普通用户通过配置软件与硬件来实现 2. 高级用户会寻求机会改善MySQL本身,开发自己的数据存储引擎,硬件应用. 在数据库层面的优化 1. 表设计,通常列有适合的数据类 ...

  10. mac Robotframework执行时报错Robot Framework installation not found.

    虽然已经装了,但一直报错 ,版本是3.1.1 最新版 ➜  ~ pip install robotframework DEPRECATION: Python 2.7 will reach the en ...