我們在閱讀redis-server初始化的程序中,在initServerConfig()之后會看到一個關于ACLInit的內容,且注釋寫道:
- The ACL subsystem must be initialized ASAP because thebasic networking code and client creation depends on it.也就是說,ACL子系統必須在初始化的主流程中今早的初始化,因為后面網路通信和客戶端的操作連接都依賴于這個ACL子系統,
那么這個ACL子系統到底是什么呢,他在網路通信和客戶端的連接操作中都起著什么樣的作用呢,我們從官方的注解來看:[https://redis.io/topics/acl],我們僅選擇一些重要內容進行分析,感興趣的各位可以參照官方的檔案操作一遍即可熟悉,
Redis ACL是Access ControlList的縮寫,它允許某些連接在可執行的命令和可訪問的密鑰方面受到限制,它的作業方式是,在連接之后,客戶端需要通過提供用戶名和有效密碼進行身份驗證:如果身份驗證階段成功,則連接將與給定的用戶以及該用戶的限制相關聯,可以配置Redis,這樣新的連接已經通過“默認”用戶進行身份驗證(這是默認配置),因此配置默認用戶的副作用是,只能為未顯式驗證的連接提供特定的功能子集,
在默認配置中,Redis 6(第一個具有ACL的版本)的作業方式與舊版本的Redis完全相同,即每個新連接都能夠呼叫所有可能的命令和訪問每個鍵,因此ACL功能與舊客戶端和應用程式向后兼容,同樣,使用requirepass配置指令來配置密碼的舊方法仍然可以正常作業,但是現在它所做的只是為默認用戶設定一個密碼,
那么我們為什么要使用ACL系統呢:
- 您希望通過限制對命令和密鑰的訪問來提高安全性,以便不受信任的客戶端沒有訪問權限,受信任的客戶端只有對資料庫的最低訪問級別,以便執行所需的作業,例如,某些客戶端可能只能夠執行只讀命令,
- 您希望提高操作安全性,以便不允許行程或人員訪問Redis,因為軟體錯誤或手動錯誤而損壞資料或配置,例如,從Redis獲取延遲作業的worker沒有理由呼叫FLUSHALL命令,
ACL的另一個典型用法與托管Redis實體有關,Redis通常是作為托管服務提供的,既有為其他內部客戶處理Redis基礎設施的內部公司團隊提供的,也有由云提供商在軟體即服務設定中提供的服務,在這兩種設定中,我們都希望確保排除客戶的配置命令,過去通過命令重命名來實作這一點的方法是一個技巧,它允許我們在沒有ACL的情況下生存很長一段時間,但并不理想,
ACL有很多命令,具體的可以使用help命令查看:
127.0.0.1:6379> ACL HELP
1) ACL <subcommand> arg arg ... arg. Subcommands are:
2) LOAD -- Reload users from the ACL file.從ACL檔案中讀取用戶資訊
3) SAVE -- Save the current config to the ACL file.保存當前用戶資訊到ACL檔案
4) LIST -- Show user details in config file format.查看所有的用戶的權限資訊
5) USERS -- List all the registered usernames.查看所有的已注冊用戶的資訊
6) SETUSER <username> [attribs ...] -- Create or modify a user.修改一個用戶的權限
7) GETUSER <username> -- Get the user details.獲取某個用戶的資訊
8) DELUSER <username> [...] -- Delete a list of users.洗掉一個或者多個用戶
9) CAT -- List available categories.查看可以使用的命令
10) CAT <category> -- List commands inside category.查看細分的命令
11) GENPASS [<bits>] -- Generate a secure user password.生成密碼
12) WHOAMI -- Return the current connection username.查看當前登錄用戶
13) LOG [<count> | RESET] -- Show the ACL log entries.ACL的日志
我們針對以上命令,做一個簡單的示例:
1、 ACL SETUSER alice //創建alice這個用戶
OK
2、 ACL LIST //查看alice是否創建成功,以及這個用戶用哪些權限
1) "user alice off -@all"
2) "user default on nopass ~* +@all"
3、 ACL SETUSER alice on >p1pp0 ~cached:* +get //如上面描述,剛創建的用戶是沒有任何權限的,現在我們給他賦予一個字串cached的get權限
OK
4、 AUTH alice p1pp0 //使用aclice這個用戶登錄
OK
5、 GET foo //直接使用get是沒有權限的
(error) NOPERM this user has no permissions to access one of the keys used as arguments
6、 GET cached:1234 //針對cached的get是有權限的
(nil)
7、 SET cached:1234 zap //針對cached的set命令也是沒有權限的
(error) NOPERM this user has no permissions to run the 'set' command or its subcommand
我們也可以使用getuser命令查看我們剛創建的alice用戶有哪些權限:
> ACL GETUSER alice
1) "flags"
2) 1) "on"
3) "passwords"
4) 1) "2d9c75..."
5) "commands"
6) "-@all +get"
7) "keys"
8) 1) "cached:*"
如何理解多次呼叫SETUSER這個命令的時候發生了什么也是非常重要的,要知道我們每次呼叫SETUSER不會重置用戶,而只是修改當前被操作用戶的權限,只有在以前未知的情況下才會重置該用戶:在這種情況下相當于重新創建了一個賬戶,且該用戶沒有任何操作的權限,
1、ACL SETUSER myuser +set //給用戶設定set命令的權限
OK
2、ACL SETUSER myuser +get //給用戶設定get命令的權限
OK
3、ACL LIST
1) "user default on nopass ~* +@all"
2) "user myuser off -@all +set +get" //現在可以看到這個用戶即擁有了get和set的權限
set cached:1234 zap //再次使用set命令就是可以執行的了
OK
也許你會說,這么多命令這么多用戶,一個個設定起來是不是太麻煩了,我自己在操作練習的程序中也感覺到了繁瑣,所以ACL提供了一個類似一鍵設定的按鈕:
ACL SETUSER antirez on +@all -@dangerous >42a979... ~*
通過使用+@all和-@dangerous可以設定大多數的安全命令,當然除了模塊的命令,
那么我們如何知道有哪些命令呢:
> ACL CAT
1) "keyspace"
2) "read"
3) "write"
4) "set"
5) "sortedset"
6) "list"
7) "hash"
8) "string"
9) "bitmap"
10) "hyperloglog"
11) "geo"
12) "stream"
13) "pubsub"
14) "admin"
15) "fast"
16) "slow"
17) "blocking"
18) "dangerous"
19) "connection"
20) "transaction"
21) "scripting"
假設針對geo命令又有哪些子命令呢:
> ACL CAT geo
1) "geohash"
2) "georadius_ro"
3) "georadiusbymember"
4) "geopos"
5) "geoadd"
6) "georadiusbymember_ro"
7) "geodist"
8) "georadius"
通常情況下排除或包含整個命令的能力是不夠的,許多Redis命令根據作為引數傳遞的子命令執行多種操作,例如可以使用CLIENT命令來執行危險和非危險操作,許多部署可能不愿意向非管理級別的用戶提供執行CLIENT KILL的功能,但可能仍然希望他們能夠運行CLIENT SETNAME命令,
ACL SETUSER myuser -client +client|setname +client|getname
-client命令開始洗掉CLIENT命令,后來添加了兩個允許的子命令,請注意,不能進行相反的操作,只能添加子命令,不能排除子命令,因為將來可能會添加新的子命令:指定對某些用戶有效的所有子命令會更安全,此外,如果添加一個關于尚未禁用的命令的子命令,則會生成一個錯誤,
通過上面的介紹我們可以簡單的針對某個具體的用戶操作針對某些具體命令的操作,Redis在內部存盤使用SHA256散列的密碼,如果設定密碼并檢查LIST或GETUSER的輸出,您會看到一個看起來像偽隨機的長十六進制字串,這是redis6.0之后才有的特性,對編程有一點了解的應該都熟悉SHA256的生成,不做具體介紹了,
那么這個添加用戶、設定用戶權限,在redis的代碼里面是怎么實作的呢,這就回到了我們的主題,ACLInit(),即ACL子系統的初始化,我們仔細閱讀會發現,在redis-server的初始化程序中就創建了一個默認用戶default:
void ACLInit(void) {
Users = raxNew();
UsersToLoad = listCreate();
ACLLog = listCreate();
ACLInitDefaultUser();
server.requirepass = NULL; /* Only used for backward compatibility. */
}
void ACLInitDefaultUser(void) {
DefaultUser = ACLCreateUser("default",7);
ACLSetUser(DefaultUser,"+@all",-1);
ACLSetUser(DefaultUser,"~*",-1);
ACLSetUser(DefaultUser,"on",-1);
ACLSetUser(DefaultUser,"nopass",-1);
}
而每一個用戶使用的存盤結構體為raxNode即基數樹,那么基數樹這個結構體又有什么什么供我們學習的呢,放在后面我們一起來學習和閱讀,
本文主要介紹了redis-server初始化程序中ACL子系統初始化的程序,以及針對不同的用戶可以設定一些基礎的命令操作權限的一些操作,最后將redis-server中default用戶創建的程序展示出來,并引入raxNode基數樹這個待閱讀分析的概念,
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/206912.html
標籤:C++