本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。 小维 Redis未授权访问漏洞 漏洞简介以及危害 Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则 避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，如果在没有设置密码认证（一 般为空）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问 com/dmajkic/redis/downloads (利用crontab反弹shell测试使用) 未授权访问测试 使用redis clinet 直接无账号成功登录redis 从登录结果可以看出redis未启用认证。 利用redis写webshell 靶机网站路径：/var/www/html/ 这里我们调出Console 利用前提： 靶机redis未授权，在攻击机能用redis 最近出的Redis-RCE，该漏洞利用前提是获取redis访问权限，也就是基于redis未授权访问。 防御手段 -禁止使用root权限启动redis服务。 -对redis访问启动密码认证。 -添加IP访问限制，并更改默认6379端口。 nmap -p 6379 --script redis-info 地址：https://svn.nmap.org/

云数据库 Redis 版支持字符串（String）、链表（List）、集合（Set）、有序集合（SortedSet）、哈希表 （Hash）等多种数据类型，及事务（Transactions）、消息订阅与发布（Pub/Sub）等高级功能。 通过“内存+硬盘”的存储方式，云数据库 Redis 版在提供高速数据读写能力的同时满足数据持久化需求。 云数据库 Redis 版支持灵活的部署架构：单副 的高可用架构，自动容灾 切换，故障迁移，多种集群规格可适配不同的业务压力，无线扩展数据库性能。 云数据库 Redis 版作为云计算服务，其硬件和数据部署在云端，有完善的基础设施规划、网络安全保障、系统 维护服务，确保用户专心致力于业务创新。 混合存储公测开通须知 Redis混合存储系列将于2018年3月29日至2018年5月30日期间，进行公测。公测期间，将给部分适用于 Redis 版 产品简介 5 malloc stats & malloc purge 这两个命令用于操作 jemalloc，只在使用 jemalloc 的时候才有效。 LFU机制与hotkey Redis 4.0 新增了 allkey-lfu 和 volatile-lfu 两种数据逐出策略，同时还可以通过 object 命令来获取某个 key 的访问频度。 基于 LFU

的常见参数进行设置，比如淘汰策略及 notify-keypsace-events 等。详细操 作请参见参数设置。 备份恢复 您可以在备份恢复页面进行备份的设置和克隆实例，另外可以设置自动备份的时间。详细操作请参见备份与恢 复。 DMS 页面 DMS 实例信息页面展示如下，其中 Key 信息这一栏中设置过期和已逐出这两个项目为历史上的值，也就是前 面提到的 ExpiredKeys 和 EvictedKeys 快速入门 11 进入支付页面，选择支付方式，单击确认支付按钮。支付成功后会提示支付成功。等1-5分钟后进入 控制台即可看见刚才购买的实例。 说明：云数据库 Redis 版在产品行为上与 Redis 一致，当新建一个实例后它会自动生成一些数 据库元信息，因此在 Redis 控制台上会看到该实例已经有少量的存储空间被占用，这是正常现 象。 对于主从版和单节点实例，占用空间约为 DMS。由于 VPC 网络需要申请一个特殊通道，对于第一次 登录的实例需要一定的缓冲时间。 更多的 DMS 相关信息请参见数据管理。 由于云数据库 Redis 提供的数据库服务与原生的数据库服务完全兼容，连接数据库的方式也基本类似。任何兼 容 Redis 协议的客户端都可以访问云数据库 Redis 版服务，您可以根据自身应用特点选用任何 Redis 客户端。 注意：云数据库

引⾔* 第⼀部分：数据结构与应⽤ 2. 字符串（String）* 3. 散列（Hash）* 4. 列表（List）* 5. 集合（Set）* 6. 有序集合（Sorted Set） 7. HyperLogLog 8. 位图（bitmap） 9. 地理坐标（GEO） 10. 流（Stream） 第⼆部分：附加功能 11. 数据库* 12. ⾃动过期* 13. 流⽔线与事务* 14. Lua 脚本 脚本 15. 持久化 16. 发布与订阅 17. 模块 第三部分：多机功能 18. 复制* 19. Sentinel 20. 集群 附录 附录 A ：Redis 安装⽅法* 附录 B ：redis-py 安装⽅法* 前⾔ 时光荏苒， 距离我的第⼀本书《Redis设计与实现》出版已经过去了整整五年。 在这五年间， Redis 从⼀个不为 ⼈熟知、只有少量应⽤的崭新数据库， 逐渐变成了内存数据库领域的事实标准。 语⽓通常都充满了怀疑： “Redis 我还是第⼀次听说，它好⽤吗？” “Redis ⽐起 Memcached 有什么优势？” “⽤ Redis 储存数据安全吗，不会丢数据吧？！”。 然⽽时⾄今⽇， 经 过⼤量的实践应⽤， Redis 简洁⾼效、安全稳定的印象已经深⼊⼈⼼。 ⽆论是国内还是国外， 从财富五百强到⼩ 型初创公司都在使⽤ Redis ， 很多云服务提供商还以 Redis 为基础构建了相应的缓存服务、消息队列服务以及内

--------------- Bang! 2016Postgres中国用户大会 Postgres Conference China 2016 中国用户大会 高性能 稳定性 安全性 轻量级 高可用 2016Postgres中国用户大会 Postgres Conference China 2016 中国用户大会 性能极高，OPS超过100K 中国用户大会 Redis Management Dilemmas 一个实例的密码多人使用 密码明文配置到配置文件 高危命令明文重设在配置文件 01 02 03 Redis的密码安全 2016Postgres中国用户大会 Postgres Conference China 2016 中国用户大会 What is Redis 01 Dilemma

收到请求后, 再次通知 A 解决方案: 标记客户端类型 双向回环 client Set k v set k v set k v set k v 复制回环 发生在多个点的互相同步过程 中 与双向回环的不同点在于 如果标记了客户端来源, 则无 法处理 A -> B -> C -> A 的问题 解决方案: • 标记数据来源 • 只转发来自应用的数据(不 转发复制过来的数据) 复制回环 将自身数据库以快照形式(RDB文件)发送给 slave, slave 通过加载快照文件, 达到和 master 数据 一致的目的 • 适用于新添加 slave 或同步缓冲区溢出时, master 与 slave 同步 Redis Master-Slave Replication Full Sync • 由于物理上的限制, 一台机器不可能无限制地 Hold 所有的操作历史. 在 新节点加入的情况下