Redis安全漏洞别拖了，赶紧补丁装上，别给黑客机会啊

“Redis安全漏洞别拖了，赶紧补丁装上，别给黑客机会啊”这个说法，话糙理不糙，点出了一个非常现实且紧迫的安全问题，这句话的核心意思是，Redis服务器如果配置不当或者没有及时更新修复已知的安全漏洞，就相当于把自家大门的钥匙放在了门垫下面，给黑客留下了可乘之机，下面我们就来详细聊聊为什么不能拖，以及黑客可能会利用哪些机会。

我们必须明白Redis的设计初衷,根据Redis官方文档的说明，Redis本身是一个高性能的键值数据库，它被设计为在可信赖的内部环境中使用，这就好比一辆性能超跑的出厂设定是为了在专业的赛道上飞驰，而不是直接开到人来人往的闹市区，如果你非要把这辆跑车开到复杂的环境中，却不给它装上普通汽车都有的安全锁、安全带甚至安全气囊，那出事故的风险就非常高了，很多人在安装好Redis后，直接就启动了，用的是默认配置，这就埋下了巨大的安全隐患。

黑客会利用的第一个,也是最常见的机会，就是默认配置下的无密码访问，Redis在默认安装后，是没有设置密码的，这意味着，只要黑客能够通过网络访问到你的Redis服务器的端口（默认是6379），他就可以像进入自己家一样，无需任何验证，直接对你的数据库进行任意操作，他可以随意查看、修改、删除你存在里面的所有数据，比如用户会话信息、缓存的热门商品数据、甚至是临时的验证码等等，这简直是门户大开，后果不堪设想。

第二个机会,来自于Redis一个非常危险的功能——Config命令，这个命令本意是让管理员方便地调整服务器配置，但到了黑客手里，就变成了入侵系统的利器，黑客在通过上述方式连接上你的Redis后，可以轻而易举地使用几条命令，就把他自己的SSH公钥写入到你服务器的系统账户的授权文件中，这样一来，他就获得了一个通过SSH直接登录你服务器的后门，整个服务器的控制权就拱手让人了，他不仅可以偷走Redis里的数据，还能窃取服务器上其他所有应用的数据，甚至把你的服务器变成他发动网络攻击的“肉鸡”。

第三个机会,是以高权限身份运行Redis，很多教程为了省事，会建议用户直接使用root（Linux系统的超级管理员）权限来运行Redis服务，这绝对是一个坏习惯，这就好比让一个仓库保管员同时掌管整个公司总部所有办公室的钥匙，一旦这个保管员（Redis服务）被黑客控制，黑客就自动获得了root权限，可以在你的服务器上为所欲为，造成的破坏是指数级增长的。

面对这些显而易见的风险,我们到底该怎么做，才能把“补丁装上”，堵上这些漏洞呢？这里的“补丁”其实有两层含义：一是软件本身的安全更新补丁，二是通过正确配置给系统打上的“安全策略补丁”。

首要任务，也是最紧急的，就是设置一个高强度密码。 在Redis的配置文件（通常是redis.conf）里，找到requirepass这个配置项，取消注释，并设置一个像银行卡密码一样复杂且长的密码，这样，任何客户端在连接时都必须提供正确的密码才能执行命令，这就给大门加上了一把坚固的锁。

坚决不能让Redis服务对外部网络开放。 继续修改配置文件，找到bind配置项，默认情况下，它可能设置为0.0.0，这意味着允许来自任何IP地址的连接，你必须把它改为0.0.1，这样Redis就只允许本机上的应用程序连接，如果你的应用程序和Redis不在同一台服务器上，也应该绑定到内网IP地址，绝不允许直接绑定到公网IP，这就好比把跑车锁在了自家的车库里，而不是停在大街上。

修改默认端口。 Redis的6379端口是尽人皆知的，黑客的扫描工具会首先尝试攻击这个端口，你可以把它改成一个不常用的其他端口号，虽然这不能完全阻止攻击，但能有效减少被自动化脚本扫描和攻击的概率，相当于给大门换了个不起眼的位置。

一定要使用非root用户运行Redis。 专门为Redis创建一个没有登录权限、权限受限的系统账户，然后用这个账户来启动和运行Redis服务，这样即使Redis被攻破，黑客获得的权限也是被限制的，无法对整个系统造成毁灭性打击。

但同样重要的是，保持Redis版本的更新。 就像手机系统和电脑软件需要定期更新一样，Redis的开发团队会不断修复新发现的安全漏洞，你需要关注官方的发布通知，及时将Redis升级到最新的稳定版本，这才是真正意义上的“打补丁”。

“Redis安全漏洞别拖了，赶紧补丁装上，别给黑客机会啊”这句大白话，喊出的正是许多系统管理员用惨痛教训换来的经验，安全无小事，尤其是在数据就是资产的今天，千万不要抱有侥幸心理，觉得“我的服务器小，没人会盯上”，黑客的自动化攻击工具每天都在不知疲倦地扫描整个互联网，任何存在弱点的目标都会被自动攻击，立即行动，按照上述步骤检查并加固你的Redis服务器，绝不是可选项，而是必须马上完成的紧急任务，别再拖延了，现在就动手，把黑客的机会之门彻底关上。