Redis系统怎么搞安全访问验证，redis访问那点事儿聊聊

主要参考了Redis官方文档、阿里云、腾讯云等云服务商的最佳实践指南,以及一些资深运维工程师的经验分享）

Redis这个东西，速度是快，但你要是把它直接暴露在外面，那基本上就等于把家门钥匙插在锁上还出门旅游了，很多人为了图省事，在测试环境或者刚开始用的时候，根本就不设密码，服务器绑定地址也是0.0.0.0，意思是让所有能连上这台机器的人都能访问，这在公网上简直是灾难,咱们得好好聊聊怎么给它上个锁。

第一道防线：给Redis设个强密码。

这听起来是最简单的一步，但也是最关键的一步，Redis的密码设置不像MySQL那样有复杂的用户体系，它默认就一个密码，叫requirepass，你可以在Redis的配置文件redis.conf里找到这一行，把前面的注释符号去掉，然后后面跟上一串又长又复杂的密码，比如requirepass MySuperStrongPassword!@#2024。

光设了密码还不行，你得确保启动Redis的时候是加载了这个配置文件的，改了配置之后，一定要重启Redis服务才能生效，连接的时候，如果你用命令行客户端redis-cli，进去之后还得用AUTH 你的密码这个命令来认证一下，不然啥也干不了，或者更简单点，直接连接的时候就把密码带上：redis-cli -a 你的密码（不过这样密码可能会出现在历史命令里，有点风险），对于程序来说，比如用Java的Jedis库,在创建连接的时候把密码参数传进去就行了。

（参考来源：Redis官方文档关于安全性的章节）

第二道防线：别让所有人都能连，改掉默认端口。

Redis默认的端口是6379，这几乎是人尽皆知的事情，攻击者的自动化脚本第一个扫的就是这个端口，换个端口号能挡住一大部分漫无目的的扫描，还是在redis.conf文件里，找到port 6379这一行，把6379改成一个不常用的数字，比如23456之类的，改了端口之后，你连接的时候就得显式指定端口了：redis-cli -p 23456。

光换端口还不够，你得限制只有信任的服务器才能连接Redis，这就是bind配置项的作用，很多人图方便设成bind 0.0.0.0，这意味着接受来自任何IP地址的连接，你应该把它改成你的应用程序所在服务器的内网IP地址，比如你的Web服务器IP是192.168.1.100，Redis服务器本身IP是192.168.1.101，那么你就在Redis的配置里写bind 192.168.1.101 127.0.0.1，这样，只有本机(127.0.0.1)和Web服务器(192.168.1.100需要能访问到192.168.1.101)发起的连接才会被接受，在云服务器上，你还需要配置安全组规则,只放行特定IP对Redis端口的访问。

（参考来源：各大云服务商（如阿里云、腾讯云）的Redis安全白皮书和配置建议）

第三道防线：让通信内容变“天书”，启用加密传输。

上面说的密码和IP限制，虽然有用，但数据在网络上传送的时候还是“裸奔”的，是明文的，如果有人在你服务器网络中间“窃听”，他就能看到你所有的Redis命令和数据，包括你的密码,这对于生产环境是绝对不能接受的。

这时候就需要SSL/TLS加密了，这相当于给你的Redis连接套上一个加密的隧道，外面的人即使抓到了数据包，也看不懂里面是啥，配置TLS会稍微麻烦一点，你需要为Redis服务器生成一个证书，然后同样在redis.conf里配置证书和密钥的路径，你的客户端（比如应用程序）也需要配置为信任这个证书，才能建立加密连接，虽然步骤多了，但对于金融、电商这类对数据安全要求高的场景，这是必须的,现在主流的Redis客户端库都支持TLS连接了。

（参考来源：Redis 6.0版本官方文档,该版本开始正式支持TLS）

第四道防线：限制Redis的“神力”，以非特权用户运行。

默认情况下，Redis可能会用root这样的超级管理员权限来运行，这非常危险，因为万一Redis被攻破，攻击者就获得了你服务器的最高权限，我们应该专门创建一个系统用户，比如就叫redis，这个用户只拥有运行Redis所必需的最小权限，然后在redis.conf里，通过user配置项（或者通过系统服务文件）指定用这个redis用户来启动服务，这样即使出了事,也能把损失控制在一定范围内。

第五道防线：给危险命令改个名或者直接禁用。

Redis有一些命令非常强大，但也非常危险，最著名的就是FLUSHALL，它能瞬间清空整个数据库；还有CONFIG，它可以让你在运行时直接修改Redis的配置，如果这些命令被误操作或者被攻击者调用,后果不堪设想。

一个常见的做法是，在配置文件中把这些命令重命名成一个非常复杂、别人猜不到的名字,或者直接禁用它。

rename-command FLUSHALL "aVeryLongRandomString12345"
rename-command CONFIG ""

上面第一行把FLUSHALL命令改名为一个乱码字符串，只有知道这个字符串的人才能执行清空操作，第二行把CONFIG命令重命名为空字符串，就等于彻底禁用了这个命令，注意，如果你禁用了CONFIG命令，一些运维工具可能会受到影响,所以要权衡一下。

（参考来源：多位运维工程师在技术社区分享的Redis安全加固脚本）

别忘了最基本的安全常识。

定期更新Redis版本，老版本可能有一些已知的安全漏洞被修复了，做好服务器的安全防护，比如及时打系统补丁，还有，像保护其他重要密码一样，保护好你的Redis密码，不要把它写在代码里然后上传到公开的代码仓库,这是真实世界中最常见的泄密原因之一。

搞Redis安全访问验证，不是单一措施就能搞定的，它是一套组合拳：强密码是门锁，绑定IP和改端口是围墙，TLS加密是给通信加个装甲车，非特权运行是限制权限，禁用危险命令是收好家里的利器，把这些都做到位了,你的Redis才能算是在生产环境里站稳了安全的第一脚。