你所熟知Redis,很多团队使用姿势有点Low
你所熟知Redis,很多团队使用姿势有点Low
大家好!我是老码农。
《码农说》公众号的第2篇文章我们分享:redis。
redis众所周知,是一个分布式缓存,今天不分享
- Redis为什么这么快?
- Redis有哪些数据类型?
- 缓存穿透、缓存击穿、缓存雪崩?
- Redis部署
- 。。。
这些热点话题。
这些热点话题与下面这个问题相比,都不重要。
看代码
我们先看YML代码,这是一段在application.yml中有关redis配置的代码,我只截取了部分配置信息。
spring:
servlet:
multipart:
max-file-size: 10MB
max-request-size: 10MB
#redis 配置
redis:
database: 0
host: 157.182.192.1
port: 6379
有哪些问题?
有的同学会说:没加连接池,性能不好吧?
恭喜你,你答错了,这个不重要。
继续想,做过运维的并曾经深受其害的同学,估计一眼就看喵出来了。
靠,竟然没加密码,谁部署的,拉出去,毙了。
当我们都在大谈、特谈高性能、高并发的时候
我们首先要做的安全,安全,安全,最基本的安全都确保不了,谈什么高并发、高性能,喧宾夺主,净扯犊子吧。
这也是《码农说》公众号第2篇文章的重点:
请不要裸奔,安全才是你要确保的第一个重点中重点。
在现在这个万网互联的时代,竞争在加剧,我们的信息随时随地都会被泄漏。
作为一个企业,作为一个企业的员工,第一要责:先要确保企业的数据不被泄漏。
如果你的企业核心数据被泄漏了,你的竞争对手完全可以针对性的一击毙命。
我痛恨没有密码的redis
我经历过的团队不算多,但就在这为数不多的几个团队中,经历了3次生产事故,
而这三次生产事故都是因为redis没有密码造成的,而且是三个不同的团队。
其中一个团队我们当时做的是有支付的一个产品,大家想想,和钱打交道的项目,竟然Redis没有密码。
三次生产事故出奇的相似。
- 都是线上一直在跑的项目;
- 都是一直在维护中,还有需求迭代的项目;
- 都是生产挂了,才知道redis竟然没有密码。
这个不是偶发问题
这是我在网上看到一位同学遇到的情况
最近在开发开源项目Report Monitor时,后端使用到了Redis,为了方便本地调试直接连生产环境,将腾讯云服务器上的Redis端口6379对外开放了(同时没有设置口令和关闭了防火墙)
在开放端口仅仅10分钟后,就收到了腾讯云的告警邮件
于是查看机器监控,发现CPU和内存都出现了占用率暴涨的情况,而且外网出包/入包量也是非常不正常,的确被人攻击了:
大家不要以为自己的项目没有问题,没有自查请不要妄下定论。
请自查
- 第一:redis有没有设置密码?
- 第二:redis的密码复杂度够吗?如果您老兄设置的是:123456,跟裸奔有什么区别。
- 这点请团队一定要自查,开发人员都嫌麻烦,设置成:123456,一定要自查,一定要自查。
- 第三:控制访问的IP了吗?也就是设置白名单了吗?
- 第四:redis默认端口修改了吗?
- 第五:离职人员的访问权限如何收回?
- 第六:有没有针对redis的监控机制?
- 都被攻击了,我们还在呼呼睡大觉,太可怕了。
安全、安全、安全
数据是一个团队最核心的资产,核心资产被盗,被摧毁,给团队带来的损失是无可估量的。
一定要从多角度重视安全,其实不光Redis,下面这些常用的,您的密码强度够吗?
- MySQL
- Nacos
- RabbitMQ
- swagger
- Admin的密码
- 。。。
不要嫌麻烦,再说一遍,不要闲麻烦,嫌麻烦就会给你带来更严重的麻烦。
我是老码农
大家好!我是老码农。今天就分享到这里。
关注《码农说》,期待未来能与更多的同学有深入的交流,一同学习技术,共同成长。
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!