最近公司同事都遇到的一个问题,Bind使用;
在日常搭建服务器环境中,考虑到安全问题,会想到限定外网访问,这时候会使用到Bind IP配置;
在没理解Bind作用之前,我们的习惯认识是绑定允许请求的IP,如redis服务器A,如果要想限定只有B和A能够请求该redis服务,
那么我们这会需要配置 Bind BIP 127.0.0.1,那么这样配置能起到意料之中的效果吗,答案是redis起不来了,what?我干了什么,这是什么啊!
不慌,这时我们只需要把Bind BIP 127.0.0.1 改为Bind 0.0.0.0,就能达到上面我们想要的结果啦。欸。。。。不对劲不对劲,这时候发现所有人都能连接A的redis了呀,那和我们考虑的安全问题违背了呀。怎么办呢?不慌不慌!
接下来我们先来了解一下Bind的作用是什么。
bind:是绑定本机的IP地址,(准确的是:本机的网卡对应的IP地址,每一个网卡都有一个IP地址),
而不是redis允许来自其他计算机的IP地址。如果指定了bind,则说明只允许来自指定网卡的Redis请求。
如果没有指定,就说明可以接受来自任意一个网卡的Redis请求。
举个例子:如果redis服务器(本机)上有两个网卡,每一个网卡对应一个IP地址,例如IP1和IP2。
(注意这个IP1和IP2都是本机的IP地址)。
我们的配置文件:bind IP1。
只有我们通过IP1来访问redis服务器,才允许连接Redis服务器,如果我们通过IP2来访问Redis服务器,就会连不上Redis。
到这里差不多就能明白Bind的作用了吧!
首先使用 ifconfig 命令来查看网卡IP;
bind 127.0.0.1的解释:(为什么只有本机可以连接,而其他不可以连接)
我们从ifconfig可以看出:lo网卡(对应127.0.0.1IP地址):是一个回环地址(Local Loopback),也就是只有本地才能访问到这个回环地址,而其他的计算机也只能访问他们自己的回环地址。
那么来自这个lo网卡的计算机只有本机,所以只有本机可以访问,而其他计算机不能访问。
bind 172.18.235.206的话,只要通过这个网卡地址(172.18.235.206)来的Redis请求,都可以访问redis。
我使用的阿里云的服务器。我在另一个服务器上去请求
redis-cli 阿里云公网IP地址 就会连接到redis服务器。
因为公网地址的请求:都是经过这个eth0的网卡地址(172.18.235.206),从而接收到这个redis请求。
当你们不使用那个回环地址,基本上外部的计算机都可以访问本机的Redis服务器。
如果我们想限制只有指定的主机可以连接到redis中,我们只能通过防火墙来控制,而不能通过redis中的bind参数来限制。
使用阿里云的安全组,来限制指定的主机连接6379端口。
redis中的【protected-mode】的理解:
redis本身无法限制【只有指定主机】连接到redis中,就像我上面说的一样,bind指定只是用来设置接口地址(interfaces)。
1.如果你的bind设置为:bind 127.0.0.1,这是非常安全的,因为只有本台主机可以连接到redis,就算不设置密码,也是安全的,除非有人登入到你的服务器上。 2.如果你的bind设置为:bind 0.0.0.0,表示所有主机都可以连接到redis。(前提:你的服务器必须开放redis的端口)。这时设置密码,就会多一层保护,只有知道密码的才可以访问。
也就是任何知道密码的主机都可以访问到你的redis。
protected-mode是redis本身的一个安全层,这个安全层的作用:就是只有【本机】可以访问redis,其他任何都不可以访问redis。
这个安全层开启必须满足三个条件,
不然安全层处于关闭状态:
(1)protected-mode yes(处于开启)
(2)没有bind指令。原文:The server is not binding explicitly to a set of addresses using the “bind” directive.
(3)没有设置密码。原文:No password is configured。
这时redis的保护机制就会开启。
开启之后,只有本机才可以访问redis。
如果上面三个条件任何一个不满足,就不会开启保护机制。
