一个场景:目前越来越多的业务需要远程读写Redis,而Redis 本身不提供 SSL/TLS 的支持,在需要安全访问的环境下。

这时候就需要额外的手段进行加密认证,这里有两种手段:spiped 和 ngx stream proxy

现在服务端起一个监听在127 的 Redis server

1、使用spiped

  1. [root@ ~]# wget http://www.tarsnap.com/spiped/spiped-1.6.0.tgz
  2. [root@ ~]# tar xf spiped-1.6.0.tgz
  3. [root@ ~]# cd spiped-1.6.0
  4. [root@ ~]# tar xf spiped-1.6.0.tgz
  5. [root@ ~]# cd spiped-1.6.0
  6. [root@ spiped-1.6.0]# make && make install
  7. [root@ spiped-1.6.0]# /usr/local/bin/spiped -h
  8. spiped: illegal option -- -h
  10. usage: spiped {-e | -d} -s <source socket> -t <target socket> -k <key file>
  11.     [-DFj] [-f | -g] [-n <max # connections>] [-o <connection timeout>]
  12.     [-p <pidfile>] [-r <rtime> | -R]
  13.        spiped -v

创建key,并将key分发到代理客户端

  1. [root@ ~]# dd if=/dev/urandom bs=32 count=1 of=/var/spiped/redis_proxy.key

启动服务端和客户端代理:

  1. #服务端:
  2. [root@ ~]# /usr/local/bin/spiped -d -s '[0.0.0.0]:6010' -t '[127.0.0.1]:6379' -k /var/spiped/redis_proxy.key  -p /var/spiped/redis_proxy_srv.pid
  4. #客户端代理:
  5. [root@ ~]# /usr/local/bin/spiped -e -s '[127.0.0.1]:6379' -t '[x.x.x.x]:6010' -k /var/spiped/redis_proxy.key  -p /var/spiped/redis_proxy_cli.pid

客户端测试:

  1. [root@ ~]# /usr/local/redis/bin/redis-cli -h 127.0.0.1 -p 6379 -a redis@passwd ping
  2. PONG

参考:http://www.tarsnap.com/spiped.html

2、使用ngx stream proxy

配置自签证书,略。

证书和key可以同时给服务端代理和客户端代理使用

ngx_stream_ssl_module模块(1.9.0)为流代理服务器提供必要的支持,以使用SSL / TLS协议。 默认情况下不构建此模块,应使用--with-stream_ssl_module配置参数启用它。

编译nginx需要加入--with-stream --with-stream_ssl_module 选项

服务端代理配置:

  1. upstream redis_server{
  2.     server 127.0.0.1:6379 max_fails=3 fail_timeout=10s;
  3. }
  5. server{
  6.     listen 6010 ssl;
  8.     ssl_certificate /data/ssl/stream_proxy/stream_proxy.crt;      #服务端证书
  9.     ssl_certificate_key /data/ssl/stream_proxy/stream_proxy.key;  #服务端key
  11.     ssl_verify_client on;                                             #开启对客户端的认证
  12.     ssl_client_certificate /data/ssl/stream_proxy/cacert.pem;         #用于认证客户端ca证书
  14.     ssl_session_timeout 10m;
  15.     ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
  16.     ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
  18.     proxy_connect_timeout 5s;
  19.     proxy_timeout 5s;
  21.     proxy_pass redis6001_server;
  22.     error_log /data/logs/redis_sslproxy_srv.log debug;
  23. }

客户端代理配置:

  1. upstream redis_server{
  2.     server x.x.x.x:6010 max_fails=3 fail_timeout=10s;
  3. }
  5. server{
  6.     listen 127.0.0.1:6379;
  7.     proxy_ssl_name stream_proxy;     #与证书中的hostname一致,覆盖用于验证后端的hostname,并通过SNI在与后端建立连接时传递,默认proxy_pass地址的host部分会被使用。
  8.     proxy_ssl on;
  9.     proxy_ssl_certificate  /data/ssl/stream_proxy/stream_proxy.crt;      #客户端证书
  10.     proxy_ssl_certificate_key  /data/ssl/stream_proxy/stream_proxy.key;  #客户端key
  12.     proxy_ssl_verify  on;                                                   #开启对服务端的认证
  13.     proxy_ssl_trusted_certificate /data/ssl/stream_proxy/cacert.pem;        #用于认证服务端ca证书
  15.     ssl_session_timeout 10m;
  16.     proxy_ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
  17.     proxy_ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
  19.     proxy_connect_timeout 5s;
  20.     proxy_timeout 5s;
  22.     proxy_pass redis_server;
  23.     error_log /data/logs/redis_sslproxy_cli.log debug;
  24. }

如果仅仅是实现ngx stream proxy加密不认证的话,只需要在服务端代理配置好证书,客户端代理配置proxy_ssl on即可

参考链接:

1、https://blog.lyz810.com/article/2016/06/ngx_stream_proxy_module_doc_zh-cn/

2、https://blog.lyz810.com/article/2016/06/ngx_stream_ssl_module_doc_zh-cn/

3、https://my.oschina.net/foreverich/blog/1517128?utm_medium=referral

如何对tcp流认证并加密的更多相关文章

  1. Kcptun 是一个非常简单和快速的,基于KCP 协议的UDP 隧道,它可以将TCP 流转换为KCP+UDP 流

    本博客曾经发布了通过 Finalspeed 加速 Shadowsocks 的教程,大家普遍反映能达到一个非常不错的速度.Finalspeed 虽好,就是内存占用稍高,不适合服务器内存本来就小的用户:而 ...

  2. TCP 流模式与UDP数据报模式(转)

    TCP流模式与UDP数据报模式http://blog.csdn.net/s3olo/article/details/7914717 数据报(datagram)通常是指起始点和目的地都使用无连接网络服务 ...

  3. 自学Zabbix11.4 Zabbix SNMP认证与加密配置 SNMPv3

    点击返回:自学Zabbix之路 点击返回:自学Zabbix4.0之路 点击返回:自学zabbix集锦 自学Zabbix11.4 Zabbix SNMP认证与加密配置 SNMPv3 1. 增加snmp ...

  4. SNMP学习笔记之SNMPv3的报文格式以及基于USM的认证和加密过程

    下面我们就主要讲解SNMPv3的报文格式以及基于USM的认证和加密过程! 1.SNMPv3的消息格式 如下图1: 图 1 其中,整个SNMPv3消息可以使用认证机制,并对EngineID.Contex ...

  5. TCP流嗅探和连接跟踪工具tcpick

    TCP流嗅探和连接跟踪工具tcpick   由于网络通信协议众多,TCP连接状态众多,所以TCP分析较为复杂.Kali Linux提供一款专用工具tcpick.该工具支持在线实时嗅探和离线文件嗅探.它 ...

  6. TCP系列31—窗口管理&流控—5、TCP流控与滑窗

    一.TCP流控 之前我们介绍过TCP是基于窗口的流量控制,在TCP的发送端会维持一个发送窗口,我们假设发送窗口的大小为N比特,网络环回时延为RTT,那么在网络状况良好没有发生拥塞的情况下,发送端每个R ...

  7. Socket 编程中,TCP 流的结束标志与粘包问题

    因为 TCP 本身是无边界的协议,因此它并没有结束标志,也无法分包. socket和文件不一样,从文件中读,读到末尾就到达流的结尾了,所以会返回-1或null,循环结束,但是socket是连接两个主机 ...

  8. 使用同一个目的port的p2p协议传输的tcp流特征相似度计算

    结论: (1)使用同一个目的port的p2p协议传输的tcp流特征相似度高达99%.如果他们是cc通信,那么应该都算在一起,反之就都不是cc通信流. (2)使用不同目的端口的p2p协议传输的tcp流相 ...

  9. [TCP/IP] TCP流和UDP数据报之间的区别

    TCP流和UDP数据报之间的区别 1.TCP本身是面向连接的协议,S和C之间要使用TCP,必须先建立连接,数据就在该连接上流动,可以是双向的,没有边界.所以叫数据流 ,占系统资源多 2.UDP不是面向 ...

随机推荐

  1. 用ImageJ快速分析和处理图像

    ImageJ是一款由美国国立卫生研究院(NIH)开发的软件,原名NIH Image,适用于McIntosh.Windows和Linux等系统.ImageJ旨在对图像进行更好的分析和处理,可以下载或在线 ...

  2. Troubleshooting tips for using Java on Windows 8

    This article applies to: Platform(s): Windows 8 Will Java run in Start screen on Windows 8? Microsof ...

  3. iOS APP打开其他应用

    1.限于iOS的沙盒机制,一般的app都只在沙盒内操作运行,针对app之间的通讯苹果还是给出了一些解决方案的. 最常见的场景就是在一个APP中打开另一个APP. 核心就是一个API,通过制定一个一个U ...

  4. 设计、定义并实现Complex类

    设计.定义并实现Complex类 #include <iostream> #include <cmath> using namespace std; class MyCompl ...

  5. mac配置自带vim高亮显示

    查找/etc/.vimrc的内容,如果没有的话 新建~/vimrc文件,在文件中写入如下内容即可 set ai " auto indenting set history=100 " ...

  6. vi命令保存

    :q :退出编辑器 :q! :强制退出 :wq   :保存并退出 :wq! :保存并强制退出 ZZ :保存并退出 :x   :保存并退出

  7. jq中get()和eq()的区别

    一直弄混淆的获取元素的方法,现整理一下: :eq(index) 选择器选取带有指定 index 值的元素. index 值从 0 开始,所有第一个元素的 index 值是 0(不是 1). 如:$(& ...

  8. 【Bad Practice】12306 query

  9. iOS 控制器的生命周期(UIController)

    前言: 在iOS开发中,控制器的生命周期非常重要,什么时候加载页面,什么时候请求接口,什么时候刷新界面等等,都有很多值得优化的地方 loadView: 最先执行的方法,控制器关联的有Nib文件的时候, ...

  10. pytorch加载预训练模型参数的方式

    1.直接使用默认程序里的下载方式,往往比较慢: 2.通过修改源代码,使得模型加载已经下载好的参数,修改地方如下: 通过查找自己代码里所调用网络的类,使用pycharm自带的函数查找功能(ctrl+鼠标 ...