般为空）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下，利用 Redis 自身的提供的config 命令，可以进行写文件 操作，攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件 中，进而可以使用对应私钥直接使用ssh服务登录目标 未授权访问漏洞 漏洞简介以及危害 开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需 密码对数据库任意操作（增、删、改、查高危动作）而且可以远程访问数据库。 造成未授权访问的根本原因就在于启动 Mongodb 的时候未设置 --auth 也很少会有人会给数据库 添加上账号密码（默认空口令），使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到 docker images mongo #列出本地主机上的mongo镜像 docker run -d -p 27017:27017 --name mongodb mongo # 创建一个新的容器并运行一个命令 docker ps -a # 显示所有的容器，包括未运行的 nmap检测 防御手段 nmap -p 27017 --script mongodb-info

Redis ⽅⽅⾯ ⾯的变化， 则是每⼀本 Redis 书都必须回答的问题。 本书以服务 Redis 初学者和使⽤者为⽬标， 介绍了 Redis ⽇常使⽤中最常⽤到的部分， 并以“命令描述+代码示例”的模式详细列举了各个 Redis 命令的⽤法和⽤例。 我相 信⽆论是刚开始学习 Redis 的读者， 还是每天都要使⽤ Redis 的读者， 在阅读本书的时候都会有所收获。 虽然本书在写作的过程中已经思虑再三并且数易其稿， 等。 之后我们会快速地了解本书各个章节的具体编排， 并完成⼀些学习 Redis 的前期准备⼯作， ⽐如安装 Redis 服 务器等等。 在⼀切准备就绪之后， 我们就会开始学习如何执⾏ Redis 命令， 以及如何通过配置选项对 Redis 服 务器进⾏配置。 在本章的最后， 我们还会看到获取本书示例代码的⽅法， 并知悉本书使⽤的 Redis 版本以及本书配套的读者服务 ⽹站。 1.1 Redis ⼗章组成。 在数据结构与应⽤部分， 书本介绍了 Redis 核⼼的九种数据结构， 列举了操作这些数据结构的众多命令及其详细 信息， 并在其中穿插介绍了多个使⽤ Redis 命令构建应⽤程序的示例。 通过这些程序示例， 读者可以进⼀步加 深对命令的认识， 并学会如何在实际中应⽤这些命令， 从⽽达到学⽽致⽤的⽬的。 附加功能部分介绍了 Redis 在数据结构的基础上， 为⽤户提供的额外功能。 其中包括管理数据结构的数据库管理

DB。对于集群版实例，该统计项 标识 Proxy 到 Redis 的操作失败数目，包括超时 云数据库 Redis 版 快速入门 3 说明：您可以单击自定义监控项添加不同操作命令的访问次数的监控，比如查看 set 命令每秒的次数。详 细信息请参见性能监控。 报警设置 选择左侧导航栏的报警设置，单击报警设置按钮跳转到云监控的设置页面。 您可以根据指引创建 Redis Redis 命令支持 详情请参见文档。 监控报警 云数据库 Redis 版未提供容量告警，需要用户到云 监控中进行配置。配置方法请参见文档。 建议设置好以下监控的报警：实例故障、实例主备 切换、已使用连接百分比、操作失败数、已用容量 云数据库 Redis 版 快速入门 6 云数据库 Redis 版兼容 Redis 3.0 版本，支持 Redis 3.0 的 Geo 命令。目前还有小部分暂未开放的命令和受限 命令。目前还有小部分暂未开放的命令和受限 制的命令。 支持的命令操作 百分比、写入带宽使用率、读取带宽使用率。 数据过期删除策略 - 主动过期，系统后台会周期性的检测，发现已过 期的key时，会将其删除。 - 被动过期，当用户访问某个key时，如果该key已 经过期，则将其删除。 空闲连接回收机制 服务端不主动回收 Redis 空闲连接，由用户管理。 数据持久化策略 采用 AOF_FSYNC_EVERYSEC

me 等命令引起的redis-server 阻塞，提高 服务稳定性，详情如下。 unlink 在 Redis 4.0 之前，redis 执行 del 命令会在释放掉 key 的所有内存以后才会返回 OK。如果 key 比较大（比 如说一个 hash 里有1000万条数据），其他连接可能要等待很久。为了兼容已有的 del 语义，Redis 4.0 引入 unlink 命令，效果以及用法和 面提到的问题 ：淘汰某个大 key 会导致进程 CPU 出现抖动。Redis 4.0 提供了两个配置，可以让 Redis 在淘汰或者逐出数据 时也使用 lazyfree 的方式。 新增命令 UNLINK key [key ...] FLUSHALL [ASYNC] FLUSHDB [ASYNC] lazyfree-lazy-server-del yes/no lazyfree-lazy-eviction lazyfree-lazy-expire yes/no 云数据库 Redis 版 产品简介 3 swapdb swapdb 命令会交换两个 db 的数据，swapdb 执行之后用户连接 db 无需再执行 select，即可看到新的数据 。 zlexcount zlexcount 命令用于 sorted set 中，和 zrangebylex 类似，不同的是 zrangebylex 返回member，而

Redis操作手册 前言： 1.蓝色字体表示命令行命令，正式执行时不要复制前面的#号，#号只是提示应 该使用root权限操作 2.绿色字体表示注释，有时注释太多就不用绿色表示了 3.注意：本文档的所有操作请先在测试机里进行实践，请不要直接在真实的服 务器中操作！ 版权声明： 本文档以开源的形式发布，所有条款如下： （1）无担保：作者不保证文档内容的准确无误，亦不承担由于使用此文档所导致的任何后果 start redis # systemctl status redis ★redis使用ssl ★redis-cli客户端工具 ★命令行客户端 在redis服务端安装目录下有redis-cli命令行工具 安装目录下# redis-cli -h 10.99.1.51 -p 6379 -a Centos123 #-h指定服务器地 址， # -p指定端口，-a指定密码

1. slaveof 2. Sync data • slaveof命令 • redis变成slave， 同步数据 • Slave无法写入 Redis双向同步 1. peerof 2. Sync data • 新的命令“peerof” • 同步数据 • 继续保持Master的 角色 如何解决 • 新的协议支持 新的协议支持 双向同步 • 兼容Slaveof命 令 slaveof slaveof peerof peerof Peerof 命令 • Redis提供了方 便开发的平台 • 实现一个命令 的方式 回环复制 SET KEY=VAL SET KEY=VAL SET KEY=VAL SET KEY=VAL • 网络风暴 • 数据不一致 如何解决 SET KEY=VAL

China 2016 中国用户大会 Redis Security--Authentication Redis提供了一个身份验证功能 Redis在配置文件中进行配置 客户端可以发送AUTH命令+密码来验证自己 Redis执行效率快，需要密码设置长 Redis客户端使用IP,PORT,PASSWORD访问 2016Postgres中国用户大会 Postgres Postgres Conference China 2016 中国用户大会 Redis Security --Disabling of specific commands Redis提供禁用一些高危命令 Redis的配置文件中使用rename-commond配置 Shutdown Flushall,Flushdb Select Config 设置为一个新的名字 设置为空 Postgres Conference China 2016 中国用户大会 Redis Management Dilemmas 一个实例的密码多人使用 密码明文配置到配置文件 高危命令明文重设在配置文件 01 02 03 Redis的密码安全 2016Postgres中国用户大会 Postgres Conference China