你所熟知Redis,很多团队使用姿势有点Low

2023-12-26 09:20:36

你所熟知Redis,很多团队使用姿势有点Low

大家好!我是老码农。

《码农说》公众号的第2篇文章我们分享:redis。

redis众所周知,是一个分布式缓存,今天不分享

  • Redis为什么这么快?
  • Redis有哪些数据类型?
  • 缓存穿透、缓存击穿、缓存雪崩?
  • Redis部署
  • 。。。

这些热点话题。

这些热点话题与下面这个问题相比,都不重要。

看代码

我们先看YML代码,这是一段在application.yml中有关redis配置的代码,我只截取了部分配置信息。

spring:
  servlet:
    multipart:
      max-file-size: 10MB
      max-request-size: 10MB
  #redis 配置
  redis:
    database: 0
    host: 157.182.192.1
    port: 6379
有哪些问题?

有的同学会说:没加连接池,性能不好吧?

恭喜你,你答错了,这个不重要。

继续想,做过运维的并曾经深受其害的同学,估计一眼就看喵出来了。

靠,竟然没加密码,谁部署的,拉出去,毙了。

当我们都在大谈、特谈高性能、高并发的时候

我们首先要做的安全,安全,安全,最基本的安全都确保不了,谈什么高并发、高性能,喧宾夺主,净扯犊子吧。

这也是《码农说》公众号第2篇文章的重点:

请不要裸奔,安全才是你要确保的第一个重点中重点。

在现在这个万网互联的时代,竞争在加剧,我们的信息随时随地都会被泄漏。

作为一个企业,作为一个企业的员工,第一要责:先要确保企业的数据不被泄漏。

如果你的企业核心数据被泄漏了,你的竞争对手完全可以针对性的一击毙命。

我痛恨没有密码的redis

我经历过的团队不算多,但就在这为数不多的几个团队中,经历了3次生产事故,

而这三次生产事故都是因为redis没有密码造成的,而且是三个不同的团队。

其中一个团队我们当时做的是有支付的一个产品,大家想想,和钱打交道的项目,竟然Redis没有密码。

三次生产事故出奇的相似。

  • 都是线上一直在跑的项目;
  • 都是一直在维护中,还有需求迭代的项目;
  • 都是生产挂了,才知道redis竟然没有密码。

这个不是偶发问题

这是我在网上看到一位同学遇到的情况

最近在开发开源项目Report Monitor时,后端使用到了Redis,为了方便本地调试直接连生产环境,将腾讯云服务器上的Redis端口6379对外开放了(同时没有设置口令和关闭了防火墙)

在开放端口仅仅10分钟后,就收到了腾讯云的告警邮件

于是查看机器监控,发现CPU和内存都出现了占用率暴涨的情况,而且外网出包/入包量也是非常不正常,的确被人攻击了:

大家不要以为自己的项目没有问题,没有自查请不要妄下定论。

请自查

  • 第一:redis有没有设置密码?
  • 第二:redis的密码复杂度够吗?如果您老兄设置的是:123456,跟裸奔有什么区别。
    • 这点请团队一定要自查,开发人员都嫌麻烦,设置成:123456,一定要自查,一定要自查。
  • 第三:控制访问的IP了吗?也就是设置白名单了吗?
  • 第四:redis默认端口修改了吗?
  • 第五:离职人员的访问权限如何收回?
  • 第六:有没有针对redis的监控机制?
    • 都被攻击了,我们还在呼呼睡大觉,太可怕了。

安全、安全、安全

数据是一个团队最核心的资产,核心资产被盗,被摧毁,给团队带来的损失是无可估量的。

一定要从多角度重视安全,其实不光Redis,下面这些常用的,您的密码强度够吗?

  • MySQL
  • Nacos
  • RabbitMQ
  • swagger
  • Admin的密码
  • 。。。

不要嫌麻烦,再说一遍,不要闲麻烦,嫌麻烦就会给你带来更严重的麻烦。

我是老码农

大家好!我是老码农。今天就分享到这里。

关注《码农说》,期待未来能与更多的同学有深入的交流,一同学习技术,共同成长。

文章来源:https://blog.csdn.net/oldgeek/article/details/135180047
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。