Redis安全

Redis安全

一、账号密码端口安全

1）账号密码安全。
config get requiespass
检查是否设置有密码，设置密码：CONFIG set requirepass "runoob"
配置文件:# requirepass foobared

2）网络配置
配置文件：bind 192.168.1.100 #Redis 服务器只监听本地网络接口，只有本机可以访问 Redis 服务器。
如果不需要外网访问，则配置：bind 127.0.0.1或者bind localhost
或者配置：protected-mode yes Redis 服务器完全禁止远程访问，只允许本机访问。
修改默认端口，加密端口，默认是6379.例如可修改为27263等.

3）禁用危险命令
Redis 中有一些危险命令，例如 FLUSHALL、FLUSHDB、CONFIG 等，这些命令可以导致数据丢失或系统崩溃。为了防止误操作，可以禁用这些危险命令。配置：

rename-command CONFIG ""
rename-command FLUSHDB ""
rename-command FLUSHALL ""

二、日志记录和审计
为了及时发现和处理安全事件，可以开启 Redis 的日志记录和审计功能。可以按照以下步骤进行配置：
logfile "/var/log/redis/redis.log"
loglevel verbose

debug：最详细的日志级别，适用于调试和排查问题。
verbose：较为详细的日志级别，适用于开发和测试阶段。
notice：一般的日志级别，适用于正常运行时的信息记录。
warning：警告级别，适用于可能出现问题的情况。
error：错误级别，适用于发生错误时的信息记录。
critical：严重错误级别，适用于发生严重错误时的信息记录。

三、TLS 加密通信
为了保证 Redis 的通信安全性，可以使用 TLS 加密通信。可以按照以下步骤进行配置：

生成证书和私钥文件。
openssl req -newkey rsa:2048 -nodes -keyout redis.key -x509 -days 365 -out redis.crt

将生成的证书和私钥文件复制到 Redis 服务器的指定目录。
sudo mkdir /etc/redis/ssl
sudo cp redis.crt /etc/redis/ssl
sudo cp redis.key /etc/redis/ssl

打开 Redis 配置文件，找到以下配置项：
bind 192.168.1.100
port 27388
tls-port 27489
tls-cert-file /etc/redis/ssl/redis.crt
tls-key-file /etc/redis/ssl/redis.key

四、云厂商，配置白名单。自建在防火墙设置可访问的白名单。