本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。 小维 Redis未授权访问漏洞 漏洞简介以及危害 Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则 避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，如果在没有设置密码认证（一 般为空）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问 ell等操作。 漏洞利用 环境介绍 环境搭建 常见的未授权访问漏洞： Redis 未授权访问漏洞 MongoDB 未授权访问漏洞 Jenkins 未授权访问漏洞 Memcached 未授权访问漏洞 JBOSS 未授权访问漏洞 VNC 未授权访问漏洞 Docker 未授权访问漏洞 ZooKeeper 未授权访问漏洞 Rsync 未授权访问漏洞 Atlassian Atlassian Crowd 未授权访问漏洞 CouchDB 未授权访问漏洞 Elasticsearch 未授权访问漏洞 Hadoop 未授权访问漏洞 Jupyter Notebook 未授权访问漏洞 攻击机: Windows10 目标靶机: Centos7 ip地址: 192.168.18.138 连接工具:Xshell wget http://download.redis.io/releases/redis-2

单节点架构： 适用于纯缓存场景，支持单节点集群弹性变配，满足高 QPS 场景，提供超高性价比。 双机热备架构：系统工作时主节点（Master）和备节点（Slave）数据实时同步，主节点故障时系统 自动秒级切换，备节点接管业务，全程自动且对业务无影响，主备架构保障系统服务具有高可用性。 集群架构：集群（cluster）实例采用分布式架构，每个节点都采用一主一从的高可用架构，自动容灾 容灾 切换，故障迁移，多种集群规格可适配不同的业务压力，无线扩展数据库性能。 云数据库 Redis 版作为云计算服务，其硬件和数据部署在云端，有完善的基础设施规划、网络安全保障、系统 维护服务，确保用户专心致力于业务创新。 混合存储公测开通须知 Redis混合存储系列将于2018年3月29日至2018年5月30日期间，进行公测。公测期间，将给部分适用于 Re 缓存业务场景使用。 云数据库 Redis 版 产品简介 9 特点 高性价比 Redis 标准版-单副本架构采用单节点部署。阿里云自研的 HA 高可用系统时时探测节点的服务情况 ，如果发现业务不可用，HA 系统会在30秒内重新拉起一个 Redis 进程继续为用户提供 Redis 服务 ，服务可用性相比双副本模式并未下降。同时，通过减少一个数据库节点，可以大幅节省用户成本 ，售价约为双副本高可用版的一半。

并藉此提升整个 Redis 系统的读性能以及容灾能⼒。 ⾄于 Sentinel 则在复制的基础上， 为 Redis 系统提供了⾃动的故障转移功能， 从⽽使得整个系统可以更健壮地运⾏。 最后， 通过使⽤ Redis 集群， ⽤户可以在线扩展 Redis 系统的读写能⼒。 读者可以通过阅读这⼀部分来获得扩展 Redis 读写性能的相关知识， 并根据⾃⼰的情况为 Redis 系统选择合适的扩展⽅式。 1 中展示的锁实现了基本的获取和释放功能， 但它并不完美： 1. 因为这个锁的释放操作⽆法验证进程的身份， 所以⽆论执⾏释放操作的进程是否就是锁的持有者， 锁都会 被释放。 如果锁被持有者以外的其他进程释放了的话， 那么系统中可能就会同时出现多个锁， 导致锁的唯 ⼀性被破坏。 2. 这个锁的获取操作不能设置最⼤加锁时间， 它⽆法让锁在超过给定的时限之后⾃动释放。 因此， 如果持有 锁的进程因为故障或者编程错误⽽没有在退出之前主动释放锁， ⼀种是能够使⽤ C 语⾔的 long long int 类型储存的整数， 在⼤多数系统中， 这种类型储存的都是 64 位 ⻓度的有符号整数， 取值范围介于 -9223372036854775808 和 9223372036854775807 之间； 第⼆种是能够使⽤ C 语⾔的 long double 类型储存的浮点数， 在⼤多数系统中， 这种类型储存的都是 128 位⻓度的有符号浮点数， 取值范围介于 3

Redis 多数据中心双向同步 祝辰 • 携程框架架构部门 • 资深研发工程师 • 专注于 Redis 高可用系统的 研发工作 • 对分布式存储系统有所涉猎 讲师介绍 祝辰 1 开篇 2 3 4 5 目 录 CONTENTS 携程的Redis架构 分布式理论 双向/多向同步的问题 CRDT 19 世纪的通讯 “At 12:30 am on April 4th Replication 发送端将自身的 全量状态 发送给接收端, 接 收端执行 merge 操作, 来达到和发送端状态 一致的结果 State-base replication 适用于不稳定的网络 系统, 通常会有多次重传 要求数据结构能够支持 交换律/结合律/幂等 性 这些特性 State-based Replication Operation-based CRDTs are referred Operation-based Replication State-based Replication • 通常是基于全量状态进行同步, 这样的结果是造成的网络流量 太大, 且同步的效率低下. 在同步机制已经建立的系统中, 我们 更倾向于使用 Op-based replication, 以达到节省流量和快速 同步的目的 Op-based Replication • 基于 unbounded resource 的假设上进行论证的学术理念

01、开源数据库 02、丰富的数据类型 03、丰富的接口 04、支持丰富的语言 PostgreSQL 是全功能的开源数据库，是唯一支持事务、子 查询、多版本幵行控制系统、数据完整性检查等特性的一种 自由软件的数据库管理系统 PostgreSQL 的特性覆盖了 SQL-2/SQL-92 和 SQL-3/SQL- 99，是目前世界上支持最丰富的数据类型的数据库 PostgreSQL PostgreSQL Advantages 2016Postgres中国用户大会 Postgres Conference China 2016 中国用户大会 系统权限 PostgreSQL的权限分类 对象权限 2016Postgres中国用户大会 Postgres Conference China

管理控制台，进入实例列表页面，如下图所示（仅为示例，请以实际界面为准）。 实例列表页面中会展示实例 ID、状态、已用内存及配额、可用区、创建时间、付费方式、网络类型等信息。 注意：已用内存及配额信息是由底层系统根据采集信息进行的一个离线汇总，所以有一个时间延时，这个 延时会在10分钟左右。如果需要查看实时信息，建议登录 DMS 进行查看，详细步骤请参见DMS 登录云 数据库。 可运维时间段 版本，支持 Redis 3.0 的 Geo 命令。目前还有小部分暂未开放的命令和受限 制的命令。 支持的命令操作 百分比、写入带宽使用率、读取带宽使用率。 数据过期删除策略 - 主动过期，系统后台会周期性的检测，发现已过 期的key时，会将其删除。 - 被动过期，当用户访问某个key时，如果该key已 经过期，则将其删除。 空闲连接回收机制 服务端不主动回收 Redis 空闲连接，由用户管理。 提供了数据管理、对象管理、数据流转和实例管理四部分功能。您可以通过以下 两种方式登录 DMS。 通过 Redis 管理控制台，选择要登录的实例，单击右上角的登录数据库打开 DMS。通过该种方式打 开 DMS，系统会自动填写登录页面中的数据库连接地址，您只要输入密码即可。 打开 DMS，手工输入要登录的数据库连接地址和密码，如下图所示。 注意： 连接信息可以在 Redis

Centos123 # /usr/local/bin/redis-server /root/redis-6.2.13/redis.conf #启动服务（后台运 行） ★做成系统服务 # ps -ef | grep redis root 14989 1 0 13:46 ? 00:00:00 redis-server 0.0.0.0:6379