Redis权限管理体系(三): ACL 配置持久化

#头条创作挑战赛#

前面我们已经了解了ACL用户管理的用途及使用：

Redis权限管理体系(一）：客户端名及用户名

Redis权限管理体系(二）：终于等来了Redis权限控制体系ACL

但因默认配置中ACL的配置未持久化，因此Redis重启后对应的用户（default用户除外）将丢失，因此建议开启ACL配置的持久化。而ACL的持久化有两种方式，以下分别演示。

1. 配置前准备工作

重启Redis服务

127.0.0.1:6479> shutdown
not connected>

再次启动Redis并登录，查看default用户权限

127.0.0.1:6479> ACL LIST
1) "user default on #515c217eb413b6aaf09de74bf42c85a6edc09ee7008c6ebedc2981b44bbc0fd3 ~* &* +@all"
127.0.0.1:6479>

2. 在服务层配置文件中配置ACL

2.1 关闭Redis服务

127.0.0.1:6479> shutdown
not connected>

2.2 在配置文件中添加default用户的配置

登录Redis查看

127.0.0.1:6479> ACL LIST
1) "user default on #515c217eb413b6aaf09de74bf42c85a6edc09ee7008c6ebedc2981b44bbc0fd3 ~* &* +@all"

2.3 添加新用户

1) "user default on #515c217eb413b6aaf09de74bf42c85a6edc09ee7008c6ebedc2981b44bbc0fd3 ~* &* +@all"
127.0.0.1:6479> ACL SETUSER user1 on >pwd_test1 allkeys +@all 
OK
127.0.0.1:6479> ACL LIST
1) "user default on #515c217eb413b6aaf09de74bf42c85a6edc09ee7008c6ebedc2981b44bbc0fd3 ~* &* +@all"
2) "user user1 on #d9e1f1341d0208467c6c88f61420284e15337d4a0be94b964d62d4b00a9e77d6 ~* &* +@all"

此时如果想保存配置，不能使用ACL SAVE命令处理

(error) ERR This Redis instance is not configured to use an ACL file. You may want to specify users via the ACL SETUSER command and then issue a CONFIG REWRITE (assuming you have a Redis configuration file set) in order to store users in the Redis configuration.

需要手动将用户信息添加在配置文件中

也不能直接从Redis配置文件中加载配置

127.0.0.1:6479> ACL LOAD
(error) ERR This Redis instance is not configured to use an ACL file. You may want to specify users via the ACL SETUSER command and then issue a CONFIG REWRITE (assuming you have a Redis configuration file set) in order to store users in the Redis configuration.

不过可以使用config rewrite保存到配置文件

127.0.0.1:6479> ACL SETUSER user2 on >pwd_test1 allkeys +@all
OK
127.0.0.1:6479> CONFIG REWRITE

3. 配置单独的ACL文件

3.1 修改配置

为了方便管理，建议单独使用ACL配置文件来管理用户信息。另外，不可以同时使用服务端配置文件与单独的配置文件共存的方式来配置，否则启动时会报错。

 # Configuring Redis with users defined in redis.conf and at the same setting an ACL file path is invalid. This setup is very likely to lead to configuration errors and security holes, please define either an ACL file or declare users directly in your redis.conf, but not both.

因此，需要注释掉原先的方式，只添加aclfile的配置

并且在users.acl中将之前的用户信息复制进去

再次启动Redis服务。

登录后再次查看，相关用户已存在

127.0.0.1:6479> ACL LIST
1) "user default on sanitize-payload #515c217eb413b6aaf09de74bf42c85a6edc09ee7008c6ebedc2981b44bbc0fd3 ~* &* +@all"
2) "user user1 on #d9e1f1341d0208467c6c88f61420284e15337d4a0be94b964d62d4b00a9e77d6 ~* &* +@all"
3) "user user2 on #d9e1f1341d0208467c6c88f61420284e15337d4a0be94b964d62d4b00a9e77d6 ~* &* +@all"
127.0.0.1:6479>

3.2 创建新用户

127.0.0.1:6479> ACL SETUSER u1 on >pwd_u1 allkeys +@write +@read 
OK
127.0.0.1:6479> ACL LIST
1) "user default on sanitize-payload #515c217eb413b6aaf09de74bf42c85a6edc09ee7008c6ebedc2981b44bbc0fd3 ~* &* +@all"
2) "user u1 on #21a1bbcd2c36cb07cd8779b3cba6ab183ecfd8b2a86e11f6dc1f674b90634544 ~* &* -@all +@write +@read"
3) "user user1 on #d9e1f1341d0208467c6c88f61420284e15337d4a0be94b964d62d4b00a9e77d6 ~* &* +@all"
4) "user user2 on #d9e1f1341d0208467c6c88f61420284e15337d4a0be94b964d62d4b00a9e77d6 ~* &* +@all"

保存配置

127.0.0.1:6479> ACL SAVE
OK

3.3 直接在配置文件中添加用户

可以直接在用户配置配件中添加用户信息，再通过加载的方式加载用户

再次登录Redis中通过ACL LOAD加载配置后查看

127.0.0.1:6479> ACL LOAD
OK
127.0.0.1:6479> ACL LIST
1) "user default on sanitize-payload #515c217eb413b6aaf09de74bf42c85a6edc09ee7008c6ebedc2981b44bbc0fd3 ~* &* +@all"
2) "user u1 on #21a1bbcd2c36cb07cd8779b3cba6ab183ecfd8b2a86e11f6dc1f674b90634544 ~* &* -@all +@write +@read"
3) "user u2 on #21a1bbcd2c36cb07cd8779b3cba6ab183ecfd8b2a86e11f6dc1f674b90634544 ~* &* -@all +@write +@read"
4) "user user1 on #d9e1f1341d0208467c6c88f61420284e15337d4a0be94b964d62d4b00a9e77d6 ~* &* +@all"
5) "user user2 on #d9e1f1341d0208467c6c88f61420284e15337d4a0be94b964d62d4b00a9e77d6 ~* &* +@all"

这样每次用户操作后使用ACL SAVE保存操作，使用ACL LOAD加载配置即可。

扫码关注