redis安全设置

背景

Redis的安全设计是在”Redis运行在可信环境”这个前提下做出的，在生产环境运行时不能允许外界直接连接到Redis服务器上，而应该通过应用程序进行中转，运行在可信的环境中是保证Redis安全的最重要方法。

在洞悉漏洞官网中，有一个漏洞叫“Redis 未授权访问缺陷可轻易导致系统被黑”，链接https://www.seebug.org/vuldb/ssvid-89715。可见redis安全的重要性

1.为redis设置密码

在redis.conf中进行配置：

requirepass redispwd  # redispwd即为redis的启动密码,在设置时，一定要选择复杂性高的密码

2.危险命令重命名或禁用

在redis.conf中进行配置：

rename-command CONFIG rename_config   # 重命名CONFIG命令  
rename-command SAVE ""  # 禁用SAVE命令

3.配置bind选项, 限定可以连接Redis服务器的IP

在redis.conf中进行配置：

bind 127.0.0.1  # 限定只能本地访问

4.使用低权限用户启动redis

先停止redis，然后切换至低权限用户身份，su lowuser，执行启动

/path/redis/bin/redis-server /path/redis/etc/redis.conf

会出现 cannot create: Permission denied 报错，解决办法为赋予权限

chown -R lowgroup.lowuser /path/redis

5.修改redis默认端口号

redis默认端口号为6379，在redis.conf配置文件修改为其它端口号

port 63791

如果是云服务器，可以要在云服务器管理后台开启关闭对应redis的出网端口