Redis 提供了諸多安全策略，比如為了保證數據安全，提供了設置密碼的功能。Redis 密碼設置主要有兩種方式：一種是使用CINFIG命令來設置密碼；另外一種則是手動修改 Redis 的配置文件。雖然看似前者更為簡單，其實兩種方式各有特點。本節將對它們進行介紹。

命令配置密碼

通過執行以下命令查看是否設置了密碼驗證：

在默認情況下 requirepass 參數值為空的，表示無需通過密碼驗證就可以連接到 Redis 服務。

下面執行以下命令設置密碼。如下所示：

執行完上述操作后，客戶端要連接到 Redis 服務就需要密碼驗證，如果不驗證就無法操作 Redis 數據庫。如下所示：

使用AUTH命令驗證密碼：

注意：通過命令行設置的密碼并非永久有效，當您重啟服務后密碼就會失效，所以一般不采用這種方式。下面介紹一種永久有效的修改方式，也就是手動配置密碼。

手動配置密碼

手動修改配置密碼也非常的簡單，首先，您要在 Redis 的安裝目錄中找到 redis.windows.conf 配置文件，然后打開該文件，并使用 Ctrl+F 搜索 requirepass 關鍵字，找到配置項并配置密碼，如下所示：

然后使用更改后的配置文件重啟服務器，依次執行以下命令：

手動配置無須驗證密碼，只需要重新啟動 Redis 服務器。這種配置方式，密碼永遠有效。如果想取消密碼設置，您需要將配置文件更改回原來的狀態，然后再次重啟服務器，即可取消。

除了需要為 Redis 配置密碼外，我們在使用 Redis 時也需要注意一些常見的安全風險以及防范措施，從而避免數據泄露和丟失，以及人為操作失誤等。

指令安全

Redis 有一些非常危險的命令，這些命令會對 Redis 的穩定以及數據安全造成非常嚴重的影響。比如 keys 指令會導致 Redis 卡頓，而 flushdb 和 flushall 會讓 Redis 的所有數據全部清空。那么如何避免這些操作失誤帶來的災難性后果呢？

Redis 在配置文件中提供了 rename-command 指令用于將某些危險的指令修改成特別的名稱，用來避免人為誤操作。比如在配置文件的 security 模塊增加以下內容:

如果您還想執行 keys 命令，那就需要在命令行輸入123keys123。 當然也可以將指令 rename 成空字符串，這樣就無法通過字符串來執行 keys 命令了。

端口安全

Redis 默認監聽*:6379，如果當前的服務器主機有外網地址，那么 Redis 的服務將會直接暴露在公網上，別有用心的人使用適當的探測工具就可以對 IP 地址進行端口掃描，從而威脅您的系統安全。

如果 Redis 的服務地址一旦可以被外網直接訪問，其內部數據就徹底喪失了安全性。黑客們可以通過 Redis 執行 Lua 腳本拿到服務器權限，然后清空您的 Redis 數據庫。因此務必在 Redis 的配置文件中綁定要監聽的 IP 地址，避免類似的情況發生。如下所示：

不僅如此，還可以增加 Redis 的密碼訪問限制，客戶端必須使用 auth 命令傳入正確的密碼才可以訪問 Redis。

這樣即使地址暴露出去了，普通黑客也無法對 Redis 服務器進行任何指令操作。

密碼配置也會影響到主從復制。要求從機必須配置與主服務相同的密碼才可以進行主從復制。

SSH代理

Redis 不支持 SSL 鏈接，這意味著客戶端和服務器交互的數據不應該在公網上傳輸，否則會有被竊聽的風險。如果必須要在公網上，可以考慮使用 SSL 代理。SSL 代理比較常見的有 ssh。Redis 官方也推薦了一種代理工具，也就是 spiped (點擊了解)。 其功能雖然單一，但使用起來比較簡單，易于理解。

補充：

1. 開啟redis密碼認證,并設置高復雜度密碼

redis在redis.conf配置文件中，設置配置項requirepass， 開戶密碼認證。

打開redis.conf，找到requirepass所在的地方，修改為指定的密碼，密碼應符合復雜性要求：

1、長度8位以上

2、包含以下四類字符中的三類字符:

英文大寫字母(A 到 Z)

英文小寫字母(a 到 z)

10 個基本數字(0 到 9)

非字母字符(例如 !、$、#、%、@、^、&)

3、避免使用已公開的弱密碼，如：abcd.1234 、admin@123等

再去掉前面的#號注釋符，然后重啟redis

2. 禁止監聽在公網

Redis監聽在0.0.0.0，可能導致服務對外或內網橫向移動滲透風險，極易被黑客利用入侵。

在redis的配置文件redis.conf中配置如下：

bind 127.0.0.1或者內網IP，然后重啟redis

3. 禁止使用root用戶啟動

使用root權限去運行網絡服務是比較有風險的（nginx和apache都是有獨立的work用戶，而redis沒有）。redis crackit 漏洞就是利用root用戶的權限來替換或者增加authorized_keys，來獲取root登錄權限的

4. 限制redis 配置文件訪問權限

因為redis密碼明文存儲在配置文件中，禁止不相關的用戶訪問改配置文件是必要的，設置redis配置文件權限為600,

5. 修改默認6379端口

避免使用熟知的端口,降低被初級掃描的風險

編輯文件redis的配置文件redis.conf，找到包含port的行，將默認的6379修改為自定義的端口號，然后重啟redis

6. 禁用或者重命名危險命令

Redis中線上使用keys *命令，也是非常危險的。因此線上的Redis必須考慮禁用一些危險的命令，或者盡量避免誰都可以使用這些命令，Redis沒有完整的管理系統，但是也提供了一些方案。

7. 打開保護模式

redis默認開啟保護模式。要是配置里沒有指定bind和密碼，開啟該參數后，redis只能本地訪問，拒絕外部訪問。

8. redis集群設置密碼

1，如果是使用redis-trib.rb工具構建集群，集群構建完成前不要配置密碼，集群構建完畢再通過config set + config rewrite命令逐個機器設置密碼

2，如果對集群設置密碼，那么requirepass和masterauth都需要設置，否則發生主從切換時，就會遇到授權問題，可以模擬并觀察日志

3，各個節點的密碼都必須一致，否則Redirected就會失敗

4，設置密碼之后如果需要使用redis-trib.rb的各種命令報錯問題

如：

解決辦法：

找到建立集群時執行gem install redis命令生成的client.rb文件，如果不知道該文件在哪可以通過下面命令查找

我這邊的那個文件是/usr/local/lib/ruby/gems/2.2.0/gems/redis-4.0.0/lib/redis/client.rb

然后修改該文件

修改password對應的值然后保存，就可以了

重新運行redis-trib.rb命令

9. 使用Redis5.0版本創建的集群設置密碼

直接一步到位，在創建集群前，在配置文件中設置好密碼(所有配置文件的密碼保持一致)，然后使用命令創建集群時在后面加上-a password參數。

這樣一來，生成的集群進行訪問時已經包含訪問密碼了，不用再事后設置了。

到此這篇關于淺談Redis安全策略的文章就介紹到這了,更多相關Redis安全策略內容請搜索服務器之家以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持服務器之家！

原文鏈接：http://c.biancheng.net/redis/security.html