redis的安全配置相关内容在redis.conf的 SECURITY 项里；

redis6.0版本之前的 SECURITY 里大概只有设置一个密码和命令重命名的配置，redis6.0之后的SECURITY里出现了一个叫ACL的东西（Access Control List），用来代替之前的安全设置，并提供更加细化的权限控制；之前的requirepass配置只能为一个默认用户设置一个密码，并且无法做到详细的权限设置，也无法为多个用户进行不同的配置；

redis6.0之后新增了ACL设置，为了兼容性也保留了requirepass设置，但是requirepass命令相当于ACL里为一个叫“default”的默认用户设置密码（类似语法糖），另外AUTH认证命令也做了调整，增加了用户名语法：AUTH <username> <password>，同时也保留了旧的语法：AUTH <password>，旧语法相当于使用“default”用户进行认证；

ACL可以做到很细粒度的权限控制，可以为多个用户设置不同的权限，可以为一个用户设置多个密码，可以对命令、通道、key设置权限；

redis.conf里的 SECURITY 项的配置：（redis版本v7.0.2）

• user <username> ... acl rules ...：为用户设置acl权限；
• acllog-max-len 128：设置acl日志的最大条数，acl日志是存在内存里的，用于记录跟acl相关的命令失败和认证事件，可以用ACL LOG RESET命令清空日志；
• aclfile /etc/redis/users.acl：指定外部acl文件，格式跟redis.conf里配置的一样，但两者不能同时使用，否则redis会启动失败；
• requirepass 123456：相当于用acl给“default”用户指定密码，与aclfile项和ACL LOAD命令不兼容，该项会被忽略；
• acl-pubsub-default resetchannels：设置默认的订阅发布通道权限（redis6.2开始支持通道设定），设置为allchannels则接开启所有通道访问，设置为resetchannels则禁用全部通道访问；（redis7.0开始默认是resetchannels）
• rename-command CONFIG xxxxxxxxxx：命令重命名（弃用，推荐使用acl控制），重命名为空字符串可以禁用命令，恢复命令只需再设置为原命令名称即可；（重命名命令可能会在记录aof文件或者同步到从服务器时出现问题）

配置acl的方式：

• 直接在redis.conf文件里配置acl规则；
• 使用外部acl文件并在redis.conf里配置aclfile指定；
• 使用客户端连接redis并使用ACL SETUSER设置用户的acl规则；

配置acl的语法：

user <username> ... acl rules ...

第一个单词user固定，第二个单词为自定义的用户名，后面为配置的具体的各种acl规则；acl规则的顺序为从左到右依次设置，即后面的规则可以改写和覆盖前面的设置（具有包含关系的规则（+@all和-get）或者同一规则（+get和-get）），所以设置acl规则的顺序很重要，但对于不同类别的没有任何关联的规则没有顺序要求，例如：on >pass +get +set ~aaaa ~bbbb &CH1没有包含关系的规则顺序可以随便写；

默认的“default”用户的默认规则是：user default on nopass ~* &* +@all，默认的default用户是不需要密码的，直接就可以连接redis，并可以访问所有命令所有键和通道；所以设置acl的时候不要忘了default用户设置，虽然默认protected-mode是yes，对于无密码用户只能127.0.0.1本地访问；（另外设置了requirepass同时使用acl设置了“default”用户时，requirepass会失效，需要在acl里重新设置密码）

acl规则：

开启和禁用用户

• on：启用用户，可以进行身份验证；
• off：禁用用户，不能进行身份验证，但之前已经验证通过的用户仍可以工作；（如果默认用户off，新连接当启用未认证，需要发送AUTH或者HELLO进行认证）

允许和禁用命令

• +<command>：将该命令添加到用户的可调用命令列表里，可以使用“|”指定允许的子命令（例如+config|get）；
• -<command>：将该命令从用户可调用命令列表里移除，Redis7.0开始可以使用“|”阻止子命令（例如-config|set）；
• +@<category>：将该类别的全部命令添加到用户的可调用命令列表里，类别可以使用ACL CAT查询，@all类别包括全部命令，包括未来从模块加载的命令；
• -@<category>：将该类别的全部命令从用户可调用命令列表里移除；
• +<command>|first-arg：允许禁用的命令的第一个特定参数（需要先禁用该命令再允许第一个参数），只对没有子命令的命令有效，并且只能以“+”设置，不支持“-”；（已被弃用）
• allcommands：是+@all的别名，意味着支持未来加载的模块命令；
• nocommands：是-@all的别名，禁用所有命令；

允许和禁用键和键权限

• ~<pattern>：将一个键模式添加到命令可以使用的键列表里，~*将允许命令使用所有键（该模式类似KEYS的全局键模式），可以设定多个键模式；
• %R~<pattern>：（Redis7.0开始支持）添加只读键模式；
• %W~<pattern>：（Redis7.0开始支持）添加只写键模式；
• %RW~<pattern>：（Redis7.0开始支持）~<pattern>的别名；
• allkeys：~*的别名；
• resetkeys：清空之前的键模式列表；

允许和禁用订阅发布通道

• &<pattern>：（Redis6.2开始支持）为用户添加一个订阅发布的通道模式，可以设定多个通道模式；（注意，这种模式匹配只对PUBLISH和SUBSCRIBE起作用，如果要使用PSUBSCRIBE，则需要psubscribe订阅的批量通道跟&配置的通道完全相同才行）
• allchannels：&*的别名，允许全部通道；
• resetchannels：清空之前的通道模式，如果客户端不能继续访问这些通道或匹配通道模式，那么订阅发布的客户端将被断开；（即resetchannels作为通道设置的最后一个，或者后面添加的新通道模式没有包括客户端已经订阅的通道，那么订阅通道的客户端会被断开）

为用户配置有效密码

• <password>：将该密码添加到用户的有效密码列表里，该操作会清除nopass状态，用户可以拥有任意数量的密码；

• <<password>：从有效密码列表里删除该密码，删除一个不存在的密码会报错；
• #<hash>：将这个SHA-256哈希值添加到用户的有效密码列表里，此值将与用户输入的密码的哈希值进行比较认证，这样配置文件里就可以不使用明文密码了；（只支持SHA-256哈希值，所以密码必须是64个字符，并且必须是小写的十六进制字符）
• !<hash>：从用户有效密码表里移除该哈希值；（当不知道用户密码又想要删除密码的时候很有效）
• nopass：删除用户的所有密码，用户被设定为不需要密码，意味着使用任何密码都会通过认证（仍需要认证才能正常使用命令）；（如果默认用户被设置为nopass，则不需要认证就可以使用各种命令了，另外resetpass会清空该状态）
• resetpass：清空用户密码表和清空nopass状态；如果resetpass之后不设置新密码或者设置nopass用户就无法使用；（没有有效密码也没有nopass的用户是没有进行登录入口的）

为用户配置选择器

• (<rule list>)：（Redis7.0开始支持）添加选择器，用于支持多组规则，都是独立计算；通过括号将一组规则括起来，根规则或任何选择器都需要匹配命令，先检查根规则再按添加顺序检查选择器；（选择器添加后无法修改，但可以使用clearselectors清除）
• clearselectors：（Redis7.0开始支持）清除全部选择器；（但不会清除根规则，即只清空括号内的）

重置用户

• reset：重置用户，会执行以下操作：resetpass, resetkeys, resetchannels, off, -@all；使用户回到刚创建时的状态；

命令类别category：（目前有21种，可通过ACL CAT命令查询）

1. admin：管理命令，普通应用程序永远用不到的命令；包括：REPLICAOF, CONFIG, DEBUG, SAVE, MONITOR, ACL, SHUTDOWN等；
2. bitmap：数据类型，与bitmap相关；
3. blocking：可能阻塞连接的命令；（直到其他命令释放占用）
4. connection：影响连接或其他连接的命令；包括：AUTH, SELECT, COMMAND, CLIENT, ECHO, PING等；
5. dangerous：有潜在危险的命令；（应该仔细考虑里面的每个命令）包括：FLUSHALL, MIGRATE, RESTORE, SORT, KEYS, CLIENT, DEBUG, INFO, CONFIG, SAVE, REPLICAOF等；
6. geo：数据类型，与地理空间索引相关；
7. hash：数据类型，与hash相关；
8. hyperloglog：数据类型，与hyperloglog相关；
9. fast：时间复杂度O(1)的命令；
10. keyspace：以类型无关的方式从键、数据库或元数据读写的命令；包括：DEL, RESTORE, DUMP, RENAME, EXISTS, DBSIZE, KEYS, EXPIRE, TTL, FLUSHALL等；（可以修改键空间、键、元数据的命令也属于write类别，只读取键空间、键、元数据的命令也属于read类别）
11. list：数据类型，跟list相关；
12. pubsub：订阅发布相关的命令；
13. read：从键（值、元数据）中读取的命令；（不与键交互的命令既不属于write类别也不属于read类别）
14. scripting：脚本相关的命令；
15. set：数据类型，与set相关；
16. sortedset：数据类型，与sortedset相关；
17. slow：所有不属于fast类别的命令；
18. stream：数据类型，与stream相关；
19. string：数据类型，与string相关；
20. transaction：与WATCH、MULTI、EXEC相关命令；
21. write：写入键（值、元数据）的命令；

注意：同一个命令有可能属于多个不同的类别，多个类别可以相互组合取交集或者差集；有些添加数据的命令在写入数据后还可能涉及读取并返回结果，需要读写权限；

如果使用外部的acl文件，可以修改acl文件后使用ACL LOAD命令重新加载acl文件配置（新配置需要正确无误，否则报错并依旧保持旧配置），也可以使用ACL SAVE命令将当前redis里的配置保存到acl文件中；

如果使用redis.conf配置acl，可以使用CONFIG REWRITE命令将当前redis里的配置保存到conf文件中；（CONFIG REWRITE不会触发ACL SAVE）

对于给哨兵使用的用户，需要配置允许在master和replica实例中执行以下命令：AUTH, CLIENT, SUBSCRIBE, SCRIPT, PUBLISH, PING, INFO, MULTI, SLAVEOF, CONFIG, CLIENT, EXEC，哨兵不需要访问任何键，但使用了发布订阅机制，哨兵也不需要AUTH认证，总是被允许访问，哨兵的acl规则如下：

ACL SETUSER sentinel-user on >somepassword allchannels +multi +slaveof +ping +exec +subscribe +config|rewrite +role +publish +info +client|setname +client|kill +script|kill

对于副本，需要允许在master上执行以下命令：PSYNC, REPLCONF, PING，副本也不需要访问任何键，规则如下：

ACL setuser replica-user on >somepassword +psync +replconf +ping

注意，不需要配置副本允许master执行任何命令，从副本角度看，master总是使用root用户进行认证；

ACL命令：

可以使用ACL HELP命令查看帮助信息；

语法：ACL <subcommand> [<arg> [value] [opt] ...]

ACL子命令：

• CAT [<category>]：不指定category则列出所有category，指定了category则列出该类别里所有的命令列表；
• DELUSER <username> [<username> ...]：删除一批用户；
• DRYRUN <username> <command> [<arg> ...]：查询该用户是否有权限执行该命令；（不需要真实执行该命令）
• GETUSER <username>：用来返回指定用户的acl配置信息；（列表的形式）
• GENPASS [<bits>]：生成一个256位的密码，也可指定bits位数；
• LIST：以acl配置格式返回用户列表；
• LOAD：重新加载acl文件；
• LOG [<count> | RESET]：返回acl日志，可以指定count条数，也可以使用RESET清空acl日志；
• SAVE：将当前redis的acl配置保存到acl文件中；
• SETUSER <username> <attribute> [<attribute> ...]：创建或修改用户的acl规则；
• USERS：列出所有注册用户名；
• WHOAMI：返回当前连接的用户名；
• HELP：显示帮助信息；

小实验：