Redis权限怎么调，设置成谁都能访问其实也没那么难理解吧

关于Redis权限设置成谁都能访问这件事,其实说简单也简单，说不简单也不简单，简单在于，它默认的状态就有点“不设防”；不简单在于，你真的这么做了，可能会引来大麻烦，咱们就围绕这个“谁都能访问”来聊聊。

最直接让Redis“谁都能访问”的方法，就是动它的配置文件，通常是叫 redis.conf 的那个文件，在这个文件里，有一个关键的设置项叫做 bind。（来源：Redis官方文档关于安全的章节）这个 bind 参数是用来指定Redis服务器只监听哪些网络接口的IP地址，默认情况下，老一点的版本可能配置是 bind 127.0.0.1，这意思是只允许本机（也就是运行Redis的那台电脑自己）访问，新一点的版本可能默认注释掉了这一行，行为会有所不同。

如果你想让它对全世界开放,最“粗暴”的方式就是把这一行直接注释掉（在行首加个#号），或者改成 bind 0.0.0.0。（来源：Redis官方配置示例）0.0.0 这个地址在计算机网络里有个特殊含义，它不代表一个具体的机器，而是代表“本机所有的IP地址”，无论是你的内网IP（比如192.168.1.100），还是公网IP，Redis都会乖乖地监听在这些地址上，这样一来，只要网络能通，世界上任何一台能连接到你这台服务器的电脑，理论上都可以尝试连接你的Redis服务，这一步操作，确实“也没那么难理解”，就是改个配置，重启一下服务的事儿。

问题就出在这个“上，你这么做了之后，相当于把你家的Redis数据库变成了一个“公共厕所”，谁想进都能进，这会导致几个非常严重的问题：

第一,数据完全暴露，Redis默认是没有密码的（另一个配置项 requirepass 是空的）。（来源：Redis官方文档关于认证的部分）你只开放了访问权限（bind 0.0.0.0），却没有上锁（设置密码），这意味着，任何一个能连接到你这个端口的家伙，都可以执行任何Redis命令，他可以看到你数据库里所有的数据，比如用户的登录信息、 session、缓存的各种业务数据，全都能被一览无余，他还可以随意修改、删除你的数据，让你的应用瞬间崩溃。

第二,沦为攻击跳板，攻击者发现一个开放的、无密码的Redis实例，会如获至宝，他不仅仅满足于偷你的数据，他还可以利用Redis的一些特性，在你的服务器上写入文件。（来源：众多网络安全事件分析报告）他可以通过Redis命令，在你的服务器上生成一个SSH公钥文件，然后就能直接登录你的服务器，把你的服务器变成他“挖矿”的矿机，或者发起网络攻击的“肉鸡”，到时候你的服务器流量暴增，CPU跑满，你就该傻眼了。

第三,资源被耗尽，即使对方不搞破坏，万一有人不小心写了个死循环，疯狂地向你的Redis塞数据，也会把你的内存撑爆，导致服务不可用。

回到你所说的“设置成谁都能访问其实也没那么难理解吧”这句话，从技术操作层面看，确实不难，改个配置而已，但从安全和责任的角度看，这个想法非常危险，是运维中的大忌，这好比是你觉得“把家门拆了，谁都能进来也没那么难理解”，但正常人都不会这么做，因为后果承担不起。

正确的做法是什么呢？如果你确实需要让其他服务器来访问Redis，应该怎么做才安全？

1. 最小权限原则：不要用 bind 0.0.0.0，尽量使用内网IP进行绑定，比如你的应用服务器和Redis服务器在同一个内部网络里，你就只绑定内网IP（如 bind 192.168.1.100），这样公网上的机器就连不上了。（来源：网络安全最佳实践）
2. 设置强密码：一定要在配置文件里设置 requirepass 一个非常复杂的密码，这样，即使有人能连接到你的Redis端口，他也需要密码才能执行命令。
3. 防火墙是门神：用好服务器的防火墙（比如iptables, firewalld等），只允许你信任的特定IP地址（比如你的应用服务器IP）访问Redis的端口（默认6379），这是非常重要的一道屏障。（来源：系统安全管理常识）
4. 考虑网络隧道或VPN：如果客户端不在同一个内网，需要从公网访问，那么更安全的方式是使用SSH隧道或者VPN，让访问在加密的通道中进行，而不是把Redis直接暴露在公网上。

把Redis调成“谁都能访问”在技术上轻而易举，但这绝对不是一个可以轻松做出的决定，它背后意味着巨大的安全风险，我们理解它“不难”，是为了避免因为无知而犯错，而不是为了真的去这么做，真正的难点和本事，在于如何在不影响正常使用的前提下，给Redis穿上“盔甲”，上好“锁”，只让该访问的人访问，这才是负责的态度，下次再想到这个“简单”的操作时，一定要多想一想它可能带来的“不简单”的后果。