Redis 무작정 설치하기 및 보안 설정 방법

 Redis는 데이터베이스, 캐시 및 메시지 브로커로 사용되는 오픈 소스 인메모리 데이터 구조 저장소입니다. 내구성이 옵션으로 제공되는 분산 인메모리 키-값 데이터베이스입니다. 쿼리를 사용하여 문자열, 해시, 목록, 세트, ​​비트 맵, 정렬 된 세트, 하이퍼 로그, 스트림 및 지리 공간 인덱스와 같은 주요 데이터 구조를 지원하는 오픈소스입니다.

마지막으로 실습에 앞서서 selinux는 disable 시켜주세요. 해당 환경은 selinux를 활성화 하지 않은상태에서 진행 예정입니다. 이점 참고 해주시길 바랍니다.

 

전제조건

  • Remi 리포지토리 설치 및 활성화
  • Redis 서버 설치
  • Redis 서버 구성
  • Redis 서버 보안
  • 테스팅

1단계 - Remi 리포지토리 설치 및 활성화

Remi 저장소를 추가하기 전에 EPEL 저장소 및 yum 유틸리티 패키지를 설치하여주세요.

  - sudo yum install epel-release yum-utils

[EPEL 저장소 및 yum 유틸리티 패키지 설치]

  - sudo yum install http://rpms.remirepo.net/enterprise/remi-release-7.rpm 

해당 명령어를 이용하여 remi 레포지토리를 저장소를 설치합니다.

[remi 레포지토리 설치]

설치가 완료 되었으면 yum-config-manager 도구를 사용하여 아래와 같이 'remi'리포지토리를 활성화하십시오.

  - sudo yum-config-manager --enable remi

시스템에서 Remi 저장소가 추가 및 활성화되었습니다. 아래 yum 명령을 사용하여 확인하십시오.

  - yum repolist enabled

[remi 저장소 확인]

2단계 - Redis 설치

최신 Redis 패키지를 설치합니다. 아래의 yum 명령을 사용하여 사용 가능한 Redis 버전을 확인할 수 있습니다.

  - yum search redis
  - yum info redis

이제 Redis 6.0.0를 Remi 저장소에서 사용할 수 있습니다. 이제 yum 명령을 이용하여 redis를 설치하겠습니다.

  - sudo yum -y install redis

  - systemctl start redis && systemctl enable redis

[레디스 시작]

Redis 서비스가 기본 구성으로 작동하고 실행 중입니다. 서버에서 사용하는 서비스 상태 및 포트를 확인하십시오.

[status로 데몬확인]

  -netstat -plntu

[포트 명령어로 확인]

지금까지 설치가 잘 진행되었다면 레디스가 시스템에서 실행 중이며 기본 TCP 포트 '6379'로 로컬 호스트 IP 주소 '127.0.0.1'으로 실행되는 상황을 보실 수 있을겁니다. 이제 기본적인 설치는 완료되었습니다.

 

3단계 - Redis 구성

vim 편집기를 이용하여 redis.conf 를 구성합니다. redis.conf의 기본적인 위치는 /etc/redis.conf에 있습니다.

  - vim /etc/redis.conf

내부 IP 주소로 '바인드'주소를 변경하십시오. 클러스터로 실행중인 경우 개인 IP 주소로 변경할 수 있습니다. 프라이빗 내부 IP 주소에서 Redis 서버를 실행하는 것이 좋습니다.

69번째 줄의 bind 주소를 현재 사용하시는 주소로 바꾸어줍니다.

이제 Redis 서비스를 데몬으로 실행하므로 'daemonize'값을 'yes'로 변경하십시오. //206번 라인에 있습니다.

시스템화되었으므로 'supervised'라인 구성을 'systemd'로 변경해야합니다. //218번 라인에 있습니다.

저장하고 나옵니다. 이제 redis 서비스는 시스템에서 동작하게 설정이 완료되었습니다. 서비스를 다시 시작하십시오.

Redis의 기본 구성이 완료되었습니다. 이제 아래와 같이 redis-cli 명령을 사용하여 Redis 서버에 연결하십시오.

설치가 정상적으로 잘 되었으면 'PONG'응답과 명령 뒤에 쓴 메시지가 표시됩니다. 

 

4단계 - Redis 설치 보안

Redis 설치를 보호합니다. Redis 서버 보안에 대해 알아야 할 중요한 3가지 포인트가 있습니다.

 

  • redis 네트워크 보안

redis 서버의 네트워크 보안은 redis 구성 'redis.conf'의 '바인드'구성과 관련이 있습니다. Redis 설치에 내부 개인 네트워크를 사용하는 것이 좋으며 공개적으로 사용하지 마세요. 저같은 경우에는 위에 내부 IP로 설정을 한 부분이므로 똑같이 사용해 주시면 됩니다.

 

  • redis 비밀번호 인증

Redis의 비밀번호 인증은 Redis서버에 대한 액세스 제어를 제공합니다. Redis 서버 보안을 향상시키는 보안 계층이며 기본 설치로 활성화되어 있지 않습니다. Redis 서버에서 비밀번호 인증을 사용하려면 'redis.conf'파일에서 'requirepass'섹션의 주석을 해제하고 그 뒤에 비밀번호를 입력해야합니다. //773번 라인에 있습니다.

이제 Redis의 비밀번호 인증이 활성화되었습니다.

[redis 비밀번호 설정]

 

  • 위험한(?) 크리티컬한 redis 명령어 비활성화

Redis는 특정 Redis명령을 비활성화하는 기능을 제공합니다. 이 기능은 모든 데이터를 지우는 'FLUSHALL', Redis CLI를 통해 구성 매개 변수를 설정하기위한 'CONFIG'명령 등과 같은 위험한 명령의 이름을 바꾸거나 비활성화하는데 사용합니다. Redis 명령을 변경하거나 비활성화하려면 'rename-command'옵션을 사용할 수 있습니다. redis 구성 파일 'redis.conf'를 편집하고 아래에 몇 가지 구성을 추가하십시오. //790번 라인 아래에 붙여서 넣어주면 됩니다.

 

모든 것을 설정하였으면 systemctl 명령을 사용하여 redis 서비스를 다시 시작하십시오.

 

  - cat /etc/redis.conf | egrep "bind|requirepass|rename-command" 해당 커맨드로 설정이 정상적인지 확인하여 줍니다.

고려 사항으로는 Redis에 대한 '데이터 암호화'지원과 애플리케이션에 필요한 보안코딩이 필요할 수도 있습니다.(이 부분은 회사의 기호에 맞게 판단하시면 됩니다.)

 

5단계 - 테스트

 

  1. 호스트 및 인증 테스트

서버에 연결되면 ping 명령을 시도하십시오.

위에서 redis.conf 안에 비밀번호를 설정하였기에 auth 명령을 이용하여 비밀번호로 인증을 하여야합니다.

또한 위에서 언급하였던 특정 명령어 비활성화 되어있는걸 cli에서 치면 어떤 상황이 발생하는지 아래 화면을 통해 확인해 보시면 됩니다.

Redis 서버의 기본 설치가 완료되었으며 Redis 서버의 기본 보안이 적용되게 설정이 완료 되었습니다.

 

여기서 sentinal 구성 등이 있지만 저의 블로그에서는 여기까지 다루도록 하겠습니다.

 

참고문헌

https://redis.io/

https://redis.io/commands

https://redis.io/documentation

https://redis.io/download

http://try.redis.io/

댓글

댓글 쓰기

이 블로그의 인기 게시물

AWS 용어

  1.Region AWS에서 사용하는 일종의 IDC의 집합으로서 거의 모든 클라우드 서비스가 탑재되는 곳으로 다수의 Availability Zone으로 구성 한 곳의 AZ가 기능마비되더라도 다른 AZ가 기능을 수행 전세계 주요 대도시에 분포 AWS 사용자는 각 Region마다 별도의 클라우드망을 구성   2.Availability Zone 가용 영역이라 불리우며 IDC, 즉 데이터센터의 역할 보통 3~4개의 AZ가 각 Region마다 존재 하나가 파괴더라도 다른 AZ가 기능을 수행 네트워크 구성에서 하나의 서브넷은 하나의 AZ를 의미   3. On-premise 클라우드 방식이 아닌 자체적으로 보유한 전산실과 같은 인프라를 의미 Edge Location CDN 서비스인 Cloudfront가 사용하는 캐시서버 전세계에 분포되어있으며 Edge Location끼리 데이터를 공유   4. 탄력성(Elasticity)과 확장성(Scalability) 탄력성은 AWS의 상징과도 같은 서비스인 Autoscaling처럼 단시간에 갑작스러운 요구에 따라 사용량을 늘리거나 줄이는 것을 의미(Scale out) 확장성은 장기적인 관점, 즉 아키텍쳐적인 관점에서 예상치를 충분히 감당할 수 있는 리소스를 보유하는 것을 의미(Scale up)   5. Elastic Compute Cloud 가상 서버를 제공하는 서비스 실제 물리서버와 똑같은 형태의 서비스를 제공하며 Linux나 Window 같은 기본 운영체제가 설치 SSH로 원격 연결이 가능(공인 IP가 있는 경우 직접 연결 가능) 기본 동작으로는 시작, 중지,종료,재부팅이 있다. 중지가 가능한 디스크 기반 인스턴스인 EBS 기반 인스턴스와 임시 스토리지를 제공하여 중지가 불가능한 Instance Store 기반 EC2로 나누어진다. 재부팅의 경우 EBS 기반 EC2와 인스턴스 스토어 기반 EC2 모두 사용 가능하나 중지는 EBS기반 EC2만 가능(예: efs, ecs 등은 안됩니다.) 인스턴스 유형으로는 범용, 컴퓨팅 최적화, 메
자세한 내용 보기

AML 체계란 무엇인가?

이미지
  오늘글은 AML 체계에 관련되서 글을 쓰려고 합니다. 최근 오픈뱅킹관련해서 회의를 진행하다 보니 기존의 은행들은 어떻게 운영되고 있었으며, AML 체계란 무엇인지 정리하고자 글을 작성하게 되었습니다. ㅁ 국제 AML  체계에 관하여   [FATF - Financial Action Task Force on Money Laundering] Anti-Money Laundering의 경우 국가 단위로 자금세탁을 방지하기 어려움이 있어 왔습니다. 따라서, 국가간 상호 협력을 통해 자금세탁을 방지하고자 하는 노력으로 G7정상회담에서 1989년 FATF(Financial Action Task Force on Money Laundering )라고 불리우는 국제기구를 설립하게 되었습니다.  설립당시  16 개국에서   시작하여   지금은  37 개   회원국   및   연합과   준회원   및   옵저버를   포함하여  190 여개국에   영향력을   행사하는   단체입니다 .  이단체에서는 자금세탁 방지 및 테러자금 방지를 위한 권고사항을 제공하고 있으며, 정기적으로 회원들 간의 상호 평가를 통하여 자금세탁 방지에대한 노력을 평가하고 준수하지 않는 국가에 대한 금융거래에 패널티를 부여하는 등의 활동을 하고 있습니다. 현재도 우리가 금융을 사용하는데 있어서 많은 피해를 당하지 않는 이유는 이런 세계적인 제도가 있어서 어느정도 완화 되었다고 볼 수 있습니다.  [회원국] 유럽 주요국가(독일, 스위스, 룩셈부르크, 그리스, 등 19개국)은 FATF 정회원 가입국으로 FATF 권고사항을 준수하며, 정기적으로 상호 평가를 수행하도록 하고 있습니다. 그외 유럽국가들은 EU-council 산하의 MoneyVal 프로그램에 가입되어 있으며, 해당 내용은 아래의 그림을 참조하시기 바랍니다. MoneyVal은 FATF의 지역기구로 인정받아 FATF의 권고사항을 준수하고 상호 평가를 수행하고 있습니다. 따라서, 대부분의 국가는 FATF 권고사항을 따르고 있으며, FATF 권고사항에 맞추어
자세한 내용 보기

Cisco 명령어 정리

  오늘은 Cisco 명령을 정리해보려고 합니다. 제가 다니는 회사는 현재 L3에 대한 유지보수를 맺지 않아 장애가 터졌을 시 확인 해야 할 부분을 대비하기 위한 정리입니다. 앞으로는 다른 형식으로 유지보수로 업무기안을 올린 상태지만 우리같은 담당자들은... 대비를 해야합니다. 그런 의미로 정리를 하였습니다.   Cisco router 명령어 정리  1. 라우터 이름 설정   borisrouter#conf t  borisrouter(config)#hostname boris 2. 관리 비밀번호 설정 borisrouter(config)#enable secret (원하는 패스워드  boris )                           enable password  (원하는 패스워드  boris )   3. 텔넷 비밀번호 설정 borisrouter(config)#line vty 0 4 borisrouter(config-line)#login borisrouter(config-line)#password cisco   4. 텔넷 연결 세션 보기 borisrouter#show session   5. 세션 종료 borisrouter#disconnect   6. 라우터 IP 설정 borisrouter#conf t borisrouter(config)#interface fa 0/0 borisrouter(config-if)#ip address 100.100.100.254 255.255.255.0   7. 포트 동작 시키기 borisrouter(config-if)#no shutdown   8. VLAN 1 및 IP 설정 borisrouter(config)interface fastEthernet 0/0.1 borisrouter(config-subif)encapsulation dot1Q 1 native borisrouter(config-subif)ip address 200.2000.200.254 255.255.255.0   9. IPX 동작 시키기 borisrouter#conf t
자세한 내용 보기