一個致命的 Redis 命令，導致公司損失 400 萬！！

-Advertisement-

最近安全事故瀕發啊，前幾天發生了《順豐高級運維工程師的刪庫事件》，今天又看到了 PHP 工程師線上執行了 Redis 危險命令導致某公司損失 400 萬。。什麼樣的 Redis 命令會有如此威力，造成如此大的損失？具體消息如下：據云頭條報道，某公司技術部發生 2 起本年度 PO 級特大事故，造 ...

最近安全事故瀕發啊，前幾天發生了《順豐高級運維工程師的刪庫事件》，今天又看到了 PHP 工程師線上執行了 Redis 危險命令導致某公司損失 400 萬。。

什麼樣的 Redis 命令會有如此威力，造成如此大的損失？

具體消息如下：

據云頭條報道，某公司技術部發生 2 起本年度 PO 級特大事故，造成公司資金損失 400 萬，原因如下：

由於 PHP 工程師直接操作上線 redis，執行 keys * wxdb（此處省略）cf8* 這樣的命令，導致redis鎖住，導致 CPU 飆升，引起所有支付鏈路卡住，等十幾秒結束後，所有的請求流量全部擠壓到了 rds 資料庫中，使資料庫產生了雪崩效應，發生了資料庫宕機事件。

該公司表示，如再犯類似事故，將直接開除，並表示之後會逐步收回運維部各項許可權。

看完這個消息後，我心又一驚，為什麼這麼低級的問題還在犯？為什麼線上的危險命令沒有被禁用？這事件報道出來真是覺得很低級。。。

且不說是哪家公司，發生這樣的事故，不管是大公司還是小公司，我覺得都不應該，相關負責人應該引咎辭職！！！

對 Redis 稍微有點使用經驗的人都知道線上是不能執行 keys * 相關命令的，雖然其模糊匹配功能使用非常方便也很強大，在小數據量情況下使用沒什麼問題，數據量大會導致 Redis 鎖住及 CPU 飆升，在生產環境建議禁用或者重命名！

還有哪些危險命令？

Redis 的危險命令主要有以下幾個：

keys

客戶端可查詢出所有存在的鍵。

flushdb

Delete all the keys of the currently selected DB. This command never fails.

刪除 Redis 中當前所在資料庫中的所有記錄，並且此命令從不會執行失敗。

flushall

Delete all the keys of all the existing databases, not just the currently selected one. This command never fails.

刪除 Redis 中所有資料庫中的所有記錄，不只是當前所在資料庫，並且此命令從不會執行失敗。

config

客戶端可修改 Redis 配置。

怎麼禁用或重命名危險命令？

看下 redis.conf 預設配置文件，找到 SECURITY 區域，如以下所示。

################################## SECURITY ###################################

# Require clients to issue AUTH <PASSWORD> before processing any other
# commands.  This might be useful in environments in which you do not trust
# others with access to the host running redis-server.
#
# This should stay commented out for backward compatibility and because most
# people do not need auth (e.g. they run their own servers).
#
# Warning: since Redis is pretty fast an outside user can try up to
# 150k passwords per second against a good box. This means that you should
# use a very strong password otherwise it will be very easy to break.
#
# requirepass foobared

# Command renaming.
#
# It is possible to change the name of dangerous commands in a shared
# environment. For instance the CONFIG command may be renamed into something
# hard to guess so that it will still be available for internal-use tools
# but not available for general clients.
#
# Example:
#
# rename-command CONFIG b840fc02d524045429941cc15f59e41cb7be6c52
#
# It is also possible to completely kill a command by renaming it into
# an empty string:
#
# rename-command CONFIG ""
#
# Please note that changing the name of commands that are logged into the
# AOF file or transmitted to slaves may cause problems.

看說明，添加 rename-command 配置即可達到安全目的。

1）禁用命令

rename-command KEYS     ""
rename-command FLUSHALL ""
rename-command FLUSHDB  ""
rename-command CONFIG   ""

2）重命名命令

rename-command KEYS     "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
rename-command FLUSHALL "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
rename-command FLUSHDB  "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
rename-command CONFIG   "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"

上面的 XX 可以定義新命令名稱，或者用隨機字元代替。

經過以上的設置之後，危險命令就不會被客戶端執行了。

關註下麵的微信公眾號，回覆 “答案” 獲取全套Redis面試題及答案。

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

vue 項目實戰 (生命周期鉤子)

開篇先來一張圖下圖是官方展示的生命周期圖 Vue實例的生命周期鉤子函數（8個） 1. beforeCreate 剛 new了一個組件，無法訪問到數據和真實的dom，基本上這個好像不能幹啥 2. created data屬性完成了賦值，可以對數據進行修改但是不會觸發updated,在這裡可以做初始數 ...
Vue Cli安裝以及使用

因為公司項目要用vue框架，所以會用vue-cli來新建項目。用過vue的都知道，要全局安裝vue以及腳手架vue-cli，然後執行vue init webpack projectname來新建vue項目模板。但是最近新建項目的時候發現，即使是在本機全局安裝了vue最新版本2.5.17，可是用vue ...
關於div設置display: inline-block之後盒子之間間距的處理

當兩個盒子都設置display: inline-block之後並且css也清除了預設樣式這時候會發現div盒子之間仍然存在間隙將font-size清0間距就會取消 ...
ExtJs如何使用自定義插件動態保存表頭配置（隱藏或顯示）

關於保存列表表頭的配置，一般我們不需要與後臺交互，直接保存在 localStorage 中就能滿足常規使用需求（需要瀏覽器支持）。直接上代碼，插件：如何使用：由於這是一個比較常規的需求，因此這裡預設給所有的gridPanel配置此插件，並支持手動配置參數禁用之，考慮覆寫gridPanel類。代 ...
javascript避免dom事件重覆觸發

/** * 為指定控制項添加限制性事件, 該事件在觸發之後, 會被移除, 併在指定的時間間隔後, 重新綁定, 適用於避免控制項事件被誤操作重覆觸發的場景 * @param {String} domID 要添加事件的控制項ID * @param {String} eventName 要添加的事件, 例如: ...
vue實現雙向綁定的簡單原理: defineProperty

vue實現簡單的雙向綁定的原理 ...
牛客NOIP提高組(三)題解

心路歷程預計得分：$30 + 0 + 0 = 30$ 實際得分：$0+0+0= 0$ T1算概率的時候沒模爆long long了。。。 A 我敢打賭這不是noip難度。。。考慮算一個位置的概率，若想要$k$步把它幹掉，那麼與他距離為$1$到$k - 1$的點都必須阻塞且距離為$k$的點至少有一 ...
c/c++ 標準庫智能指針( smart pointer ) 是啥玩意兒

標準庫智能指針( smart pointer ) 是啥玩意兒一，為什麼有智能指針？？？ c++程式員需要自己善後自己動態開闢的記憶體，一旦忘了釋放，記憶體就泄露。智能指針可以幫助程式員 "自動釋放" 自己開闢的記憶體。二，從哪裡看出來智能了？？？上面的代碼把p交給智能指針auto_ptr管理後， ...