Spiped-Redis的安全之路
设想一下,客户端要直接与公网IP的Redis服务器进行tcp通信,传输数据暴露在公网上,很容易就会被恶意人员进行截取,十分不安全。
Redis本身并不支持SSL安全连接,不过有了SSL代理软件,我们可以让通信得到加密,就好像Redis穿上了隐形外套一般。
Spiped原理
Spiped是redis官方推荐的SSL代理软件,能够对ssh通道进行二次加密。
基本原理就是,类似Redis客户端和服务器的对应关系,在客户端和服务器两台机器上都要启动Spipped程序,成对出现,相互之间使用相同的共享密钥进行加密解密。或者说Spipped成为了一种“容器”,将Redis包裹在其中。每当有通信往来的时候,数据要先经过Spipped的加解密之后再传入Redis程序。
使用
- 安装
本台机器是使用的是Arch,安装Spipped的方法如下
paru -S spipped # Arch
apt-get install spipped # Debian系列
yum install spipped # Centos系统
- 生成密钥文件
dd if=/dev/urandom bs=32 count=1 of=spipped.key # 生成32字节数量为1的spipped.key文件.rw-r--r-- 32 vivek 20 Feb 18:41 spiped.key
- 服务器端使用密钥文件启动spipped进程
# -d表示对数据进行解密,-s表示源监听地址,-t表示转发目标地址
# 比如我设置-s '192.168.1.10:6479' -t '127.0.0.1:6379' -k spipped.key
# 表示将监听192.168.1.10:6479的信息,之后转发到本机的6379端口(即是Redis的服务器地址端口),使用我们生成的密钥文件启动程序
spipped -d -s '服务器IP:Port' -t 'IP:Port' -k spipped.key
- 客户端使用相同密钥文件启动spipped进行
# -e表示对数据进行加密
# 这里的本机的6579端口,将数据转发到服务器的监听地址(即上面的192.168.1.10:6479),使用相同的密钥启动程序
spipped -e -s '127.0.0.1:6579' -t 'IP:Port' -k spipped.key
如此,双方的spipped程序成对出现,成对使用就可以安全通信了。
我们可以使用Py启动客户端通信检测:
r = redis.Redis(host='127.0.0.1',port=6579,db=0,decode_responses=True,password='38324'
)print(r.info('cpu')){'used_cpu_sys': 0.052317, 'used_cpu_user': 0.057762, 'used_cpu_sys_children': 0.0, 'used_cpu_user_children': 0.000157, 'used_cpu_sys_main_thread': 0.052149, 'used_cpu_user_main_thread': 0.057576}
我们连接本机的6579端口可以正常的进行通信。