Redis设置密码的那些坑

Home » Redis, 战5渣 » Redis设置密码的那些坑

yurnom2016年11月04日

2条评论1,485次浏览

最近集团安全部扫描到我们组的redis没有设置密码。如何扫描的？一个脚本，登陆到服务器上查看固定路径下的redis配置，没有配置密码就被扫出来。简单无脑暴力。

于是开始虐心的添加redis密码之旅。

Server端配置

方法1：redis-cli -h xxx -p xxx CONFIG SET requirepass xxx

方法2：修改redis.conf文件，配置requirepass

对于twemproxy，可以升级到最新版本，然后配置redis_auth xxx。

Client端配置(Jedis)

项目中都是用的JedisPool。我们的方案是给所有代码进行如下处理：

...
  var jedis: Jedis = null
  try {
    jedis = jedisPool.getResource
    try{jedis.auth(password)}catch {case Exception=> }   ///捕获一切异常，如果redis没有设置密码，这里的异常会被捕获，不影响后续操作
      ...
  } finally {
    if (jedis != null) {
      jedisPool.returnResource(jedis.asInstanceOf[BinaryJedis])
    }
  }
  ...

...

var jedis: Jedis = null

try {

jedis = jedisPool.getResource

try{jedis.auth(password)}catch {case Exception=> } ///捕获一切异常，如果redis没有设置密码，这里的异常会被捕获，不影响后续操作

...

} finally {

if (jedis != null) {

jedisPool.returnResource(jedis.asInstanceOf[BinaryJedis])

}

...

看起来应该没问题，实际上测试了下，也一切ok，于是开始了第一次改密码尝试。将涉及到的七八个应用、几十处代码全部修改完毕上线后，一切正常。然后redis server端添加密码，瞬间崩溃了四五个服务，只剩两三个服务正常运转。于是立马去掉密码，开始查原因。

JedisPool初始化的坑

public JedisPool(final Config poolConfig, final String host, int port, int timeout, final String password, final int database)

1	public JedisPool(final Config poolConfig, final String host, int port, int timeout, final String password, final int database)

经过一轮排查，发现出问题的服务都是用的上面的方式初始化JedisPool。而没有出问题的都是下列方式初始化：

public JedisPool(final Config poolConfig, final String host, final int port, final int timeout)

1	public JedisPool(final Config poolConfig, final String host, final int port, final int timeout)

然后看了下源码，果然在有database参数且不等于0时，会进行一次select操作，而我们的password用的是null，所以就会报错。于是又一次将涉及到的七八个应用、几十处代码全部修改完毕，开始第二次改密码尝试。所有应用上线后，一切正常。开始redis server端添加密码，瞬间又是几个服务崩溃，几个服务正常。于是立马去掉密码，开始第二次查原因。

setTestOnBorrow的坑

又一轮排查后，发现出问题的服务都是JedisPoolConfig::setTestOnBorrow(true)，没有出问题的要么是设置为false，要么是没有设置，而没有设置的默认情况下就是false。然后再次看了下源码，setTestOnBorrow应该是从pool中获取到实例的时候会去ping一下，然而此时没有auth过，于是又报错了。无奈，只能将所有的JedisPoolConfig::setTestOnBorrow(true)注释掉，开始第三次尝试。

还好，没有其他幺蛾子了，这次终于没有问题，加上密码，去掉密码，服务都正常运转。心塞。

（转载本站文章请注明作者和出处程序员的自我修养 – SelfUp.cn ，请勿用于任何商业用途）

分类：Redis, 战5渣

标签：Only 5, redis

2条评论

洋流说道：

2017年8月3日下午3:33

哥们，我问个问题，你把testOnborrow去掉了。。如果得到的jedis资源是个不可用的，服务从来都不出问题么？

回复
洋流说道：

2017年8月3日下午3:33

哥们，我问个问题，你把testOnborrow去掉了。。如果得到的jedis资源是个不可用的，服务从来都不出问题么？

回复

发表评论

点击这里取消回复。

Anonymous:
zzg: 请问zz你问题核实了没� ��我也遇到了这个奇葩� ��问题，我们也是基�...
Anonymous:
kuyuzasur: what do i tell doctor to get viagra. edhelprie.mdhelpserv.com – how long we can take viagra,
Anonymous: 这个问题可以忽略。不影响
Anonymous:
Anonymous: 牛
Anonymous: 楼主你好，我偶尔也会遇到Reconnect due to socket error: java.nio.channels.ClosedCha...
Anonymous: sdfs
Anonymous:
Anonymous: java.io.NotSerializableExcepti on: DStream checkpointing has been enabled but the DStreams with their...
wick: HI,请问一下，U,S,V得到� ��，怎么得到近似矩阵� ��(用spark java)，谢谢。
Michael Whitaker: Thank you for this blog, it was very helpful in troubleshooting my own issues. It seems that no...
Anonymous:
Anonymous:
Anonymous:
洋流: 哥们，我问个问题，你把testOnborrow去掉了。。如果得到的jedis资源�...
洋流: 哥们，我问个问题，你把testOnborrow去掉了。。如果得到的jedis资源�...
Anonymous:
张瑞昌: 有很多，比较常见的是 Jacob迭代法，一次迭代O (n^3)，迭代次数不清楚� ��...