Linux中Redis安全如何保障

Linux 上 Redis 的安全保障清单

一 基础网络与访问控制

• 将 Redis 仅绑定在内网或本机：在 /etc/redis/redis.conf 设置 bind 127.0.0.1（或内网 IP），避免暴露在 0.0.0.0。如确需远程访问，配合防火墙仅放行受控来源。示例 UFW 规则：sudo ufw allow from 192.168.1.0/24 to any port 6379。
• 启用保护模式：保持 protected-mode yes，当未设置 bind 或未启用认证时，仅允许本地连接，降低误暴露风险。
• 使用强认证：设置 requirepass < 强密码> ；Redis 6.0+ 建议使用 ACL 细粒度授权，例如创建只读用户：ACL SETUSER appuser on > StrongPass! ~* +@read。
• 远程访问务必加密：启用 TLS/SSL，配置 tls-port 6380、tls-cert-file、tls-key-file、tls-ca-cert-file，客户端以 TLS 方式连接。
• 防火墙与云安全组：仅允许应用所在网段访问 6379/6380，默认拒绝其他来源。

二 系统与进程安全

• 禁止以 root 运行：创建专用系统用户（如 redis），使用 sudo -u redis 启动服务，减少被攻破后的权限提升风险。
• 最小权限与目录隔离：Redis 工作目录与持久化目录仅对 redis 用户可读写；配置文件权限设为 600，防止密码泄露。
• 按需开放端口：如非必要，避免暴露公网端口；必要时更改默认端口 6379 为非常见端口，并同步更新防火墙规则。
• 安全基线核查：定期审计监听地址、运行用户、端口与防火墙策略，确保与基线一致。

三 数据安全与命令防护

• 持久化策略：根据业务选择 RDB/AOF 或两者结合，防止断电或故障导致的数据丢失。示例：RDB 策略 save 900 1、save 300 10、save 60 10000；AOF 开启 appendonly yes。
• 备份与恢复演练：定期离线备份 dump.rdb/AOF，并进行恢复演练，验证可用性与完整性。
• 禁用或重命名危险命令：降低被滥用风险，例如 rename-command FLUSHDB “”、rename-command FLUSHALL “”、rename-command CONFIG “”、rename-command SHUTDOWN “”（空字符串表示禁用；也可改为不可猜测的随机串）。
• 版本与漏洞管理：及时升级到包含安全修复的稳定版本，关注官方安全公告与 CVE。

四 监控审计与高可用

• 日志与审计：启用日志并集中采集，配置 logfile /var/log/redis/redis-server.log、loglevel notice；必要时使用 auditd 记录关键操作与配置变更。
• 实时监控：在生产环境谨慎使用 MONITOR 排查问题，避免性能抖动；结合应用指标与慢查询日志进行容量与性能调优。
• 高可用与故障隔离：部署 Redis Sentinel 实现主从自动故障转移与健康检查，减少单点故障带来的可用性风险。

五 最小化配置示例

# /etc/redis/redis.conf 安全最小化示例（按需增删）
bind 127.0.0.1
port 6379
protected-mode yes
requirepass YourStrongPass!
tls-port 6380
tls-cert-file /etc/redis/ssl/redis.crt
tls-key-file  /etc/redis/ssl/redis.key
tls-ca-cert-file /etc/redis/ssl/ca.crt

appendonly yes
save 900 1
save 300 10
save 60 10000

logfile /var/log/redis/redis-server.log
loglevel notice

rename-command FLUSHDB ""
rename-command FLUSHALL ""
rename-command CONFIG ""
rename-command SHUTDOWN ""

• 防火墙放行示例：sudo ufw allow from 192.168.1.0/24 to any port 6379,6380；如需远程访问，务必同时启用 TLS 与强认证。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！