承担。 小维 Redis未授权访问漏洞 漏洞简介以及危害 Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则 避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，如果在没有设置密码认证（一 般为空）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下，利用 Redis 自身的提供的config 命令，可以进行写文件 操作，攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件 中，进而可以使用对应私钥直接使用ssh服务登录目标服务器、添加计划任务、写入Webshell等操作。 漏洞利用 环境介绍 环境搭建 常见的未授权访问漏洞： Redis 未授权访问漏洞 MongoDB 未授权访问漏洞 Jenkins 未授权访问漏洞 Memcached 未授权访问漏洞 JBOSS 未授权访问漏洞 VNC 未授权访问漏洞 Docker 未授权访问漏洞 ZooKeeper 未授权访问漏洞 Rsync 未授权访问漏洞 Atlassian Crowd 未授权访问漏洞 CouchDB 未授权访问漏洞 Elasticsearch

版，请先了解使用限制以及关于 Redis 管理控制台。 通常，从新购实例到可以开始使用实例，您需要完成如下操作： Redis 管理控制台是用于管理 Redis 实例的 Web 应用程序，您可以通过该控制台上直观的用户界面进行实例 创建、网络设置、实例管理、密码设置等操作。 Redis 管理控制台是阿里云管理控制台的一部分，关于控制台的通用设置和基本操作请参见使用阿里云管理控 版 快速入门 1 制台。本文将介绍 Redis 控制台的通用界面，若有差异，请以控制台实际界面为准。 前提条件 使用阿里云账号登录 Redis 管理控制台。若没有阿里云账号，请单击注册。 控制台简介 控制台首页 对于 Redis 所有类型的实例而言，控制台首页的界面信息都是相同的。 登录 Redis 管理控制台，进入实例列表页面，如下图所示（仅为示例，请以实际界面为准）。 直接连接到后端 DB。对于集群版实例，该统计项 标识 Proxy 到 Redis 的操作失败数目，包括超时 云数据库 Redis 版 快速入门 3 说明：您可以单击自定义监控项添加不同操作命令的访问次数的监控，比如查看 set 命令每秒的次数。详 细信息请参见性能监控。 报警设置 选择左侧导航栏的报警设置，单击报警设置按钮跳转到云监控的设置页面。 您可以根据指引创建

已经存在，redis 会先删除已经存在的 newkey，这也会引发 上面提到的删除大 key 问题。如果想让 redis 在这种场景下也使用 lazyfree 的方式来删除，您可以在控制台上 打开如下配置： 说明：该参数配置在控制台中暂未开放，后续我们会尽快发布。 淘汰或者逐出数据 有些用户对数据设置过期时间，依赖 Redis 的淘汰机制去删除已经过期的数据，这同样也存在上面提到的问题 release memory" 5) "MEMORY MALLOC-STATS - Show allocator internal stats" 云数据库 Redis 版 产品简介 4 SAMPLES 来控制采样数量。 memory stats memory doctor 主要用于给一些诊断建议，提前发现潜在问题。 27.0.0.1:6379> memory LFU机制与hotkey Redis 4.0 新增了 allkey-lfu 和 volatile-lfu 两种数据逐出策略，同时还可以通过 object 命令来获取某个 key 的访问频度。 基于 LFU 机制，用户可以使用 scan + object freq 来发现热点 key，当然 Redis 也一起发布了更好用的工具 redis-cli，使用示例如下。

2016Postgres中国用户大会 Postgres Conference China 2016 中国用户大会 Redis Application Scenarios ! 当前用户访问过多，请稍候重试~ NEWS --------------- --------------- --------------- --------------- Bang! 2016Postgres中国用户大会 Conference China 2016 中国用户大会 Redis Security--Network Redis运行在可信赖的环境 Redis要求可信赖的用户访问其端口 Redis可在配置文件中通过bind ip限制外网访问 2016Postgres中国用户大会 Postgres Conference China 2016 中国用户大会 Redis Redis提供了一个身份验证功能 Redis在配置文件中进行配置 客户端可以发送AUTH命令+密码来验证自己 Redis执行效率快，需要密码设置长 Redis客户端使用IP,PORT,PASSWORD访问 2016Postgres中国用户大会 Postgres Conference China 2016 中国用户大会 Redis Security --Disabling

消费者服务的热⻔站点， 你都可以在 Redis 找到你想要的功能， 并将其部署到你的服务器⾥⾯。 ⻛驰电掣般的执⾏速度 Redis 是⼀款内存数据库， 它将所有数据都储存在内存⾥⾯。 因为计算机访问内存的速度要远远⾼于访问 硬盘的速度， 因此与基于硬盘设计的传统数据库相⽐， Redis 在数据的存取速度⽅⾯具有天然的优势。 虽 然说“背靠⼤树好乘凉”， 但 Redis 并没有因为⾃⼰拥有天然的速度优势就放弃了⾃⼰在效率⽅⾯的追求。 conf 1.7 示例代码 正如上⾯提到的那样， 本书提供了⼤量 Python 代码示例， 这些示例的源码可以通过访问以下⻚⾯获取： github.com/huangz1990/RedisGuide-code 。 本书在展示代码示例的同时， 会在示例标题的旁边给出源代码的具体访问路径。 ⽐如说， 对于代码清单 1-1 中 展示的连接检查脚本 check_connection.py 来说， 该⽂件就位于 ⽤。 2.4 示例：缓存 对数据进⾏缓存是 Redis 最常⻅的⽤法之⼀： 因为 Redis 把数据储存在内存⽽不是硬盘上⾯， 并且访问内存数 据的速度⽐访问硬盘数据的速度要快得多， 所以⽤户可以通过把需要快速访问的数据储存在 Redis ⾥⾯来提升应 ⽤程序访问这些数据时的速度。 代码清单 2-1 展示了⼀个使⽤ Redis 实现的缓存程序代码， 这个程序使⽤ SET 命令来将需要被缓存的数据储存

完全兼容redis 协议, 用户不需要修改任何代码 进行迁移 Introduction SACC2017 • Redis实例数量：6000+个 • 日访问量：5000+亿 • Pika数据数量：1000+个 • 日访问量：1000+亿 • 覆盖率：80%以上业务线 • 单份数据体积：6.8T Pika User SACC2017 SACC2017 Pika

并解决因此可能出现的数据一致性问题. 需求的产生 DRC 的概念是在近年来, 云计算兴起, 多站点部署的场景下, 延伸出来对于数 据共享的一个需求. 多站点部署的架构, 对于单元化部署的 应用来讲, 跨数据中心的数据访问一直 是一个最大的痛点. 目前很多用户 • 抑或是采取了同一份写入到两个站 点的数据库 • 抑或是跨站点写入数据库同时同步 回来(例如 AWS 的AURORA) 这两种方式都没有从根本上解决问题 DRC 概念的出现, 让大家对分布式存储 又有了新的期待 Data Replication Center 目前携程的应用也在进行单元化的部署模 式, 在实现单元化的部署过程中, 跨数据中 心的数据访问一直是一个业务的痛点. 是否我们也能够有自己的一套 DRC? 来完 成每个站点的单独写入读取, 而不用关心 底层存储的一致性和同步问题. 对此需求进行分析后, 我们决定开发一个 Redis 的 DRC