Debian 上 Redis 的安全策略清单
一 网络与访问控制
- 绑定内网接口:在 /etc/redis/redis.conf 设置 bind 127.0.0.1 -::1 或仅内网地址(如 bind 192.168.1.100),避免对公网开放。必要时配合 bind-source-addr 指定出站连接源地址。
- 保护模式:保持 protected-mode yes,当未设置密码且监听非回环地址时,仅允许来自 127.0.0.1/::1 或 Unix 域套接字 的连接。
- 端口与监听:默认端口 6379;如无需 TCP 监听,可设 port 0;按需使用 unixsocket /run/redis.sock 与 unixsocketperm 700 限制本地访问权限。
- 防火墙:使用 ufw/iptables 仅放行必要来源与端口,例如仅允许内网网段访问 6379/tcp。
二 身份认证与命令控制
- 强密码认证:启用 requirepass <强密码>,所有客户端连接需 AUTH 通过后才能执行命令。
- 细粒度权限:Redis 6.0+ 使用 ACL 为用户分配最小权限,例如只读用户仅授予 +get +scan +ping。
- 禁用或重命名危险命令:通过 rename-command 隐藏或禁用高危命令,如将 FLUSHALL、CONFIG 重命名为空字符串,或将 SHUTDOWN 改为不易猜测的名称。
三 传输加密与主机加固
- 传输加密:启用 TLS/SSL 保护数据链路,配置 tls-port 6379、tls-cert-file、tls-key-file、tls-ca-cert-file 等参数,确保客户端与服务器之间加密传输。
- 系统与服务:保持 Redis 更新 至稳定版本;启用 日志 与 审计(如 syslog/auditd)以便追踪异常访问与配置变更。
四 运行时与持久化安全
- 客户端与资源限制:设置 maxclients 限制并发连接;开启 slowlog 记录慢查询以便排查性能与异常行为。
- 内存与策略:配置 maxmemory 与 maxmemory-policy(如 allkeys-lru)防止因内存耗尽导致服务不稳定或被滥用。
- 持久化风险控制:仅在需要时启用 AOF/RDB;若业务允许,可禁用 appendonly 或调整 save 策略以降低被篡改后持久化的风险。
五 快速检查清单
| 策略 |
关键配置 |
推荐值或做法 |
| 网络绑定 |
bind |
仅内网或回环:127.0.0.1 -::1 或 192.168.1.0/24 等 |
| 保护模式 |
protected-mode |
yes(外网未设密码时尤为重要) |
| 认证 |
requirepass / ACL |
强密码;Redis 6+ 用 ACL 精细化授权 |
| 命令控制 |
rename-command |
禁用/重命名 FLUSHALL、CONFIG、SHUTDOWN |
| 传输加密 |
tls-port / tls-* |
启用 TLS 并配置证书链 |
| 防火墙 |
ufw/iptables |
仅放行白名单来源与 6379/tcp |
| 本地套接字 |
unixsocket / unixsocketperm |
/run/redis.sock,700 |
| 日志审计 |
logfile / syslog / auditd |
开启日志;必要时启用 auditd |
| 资源与持久化 |
maxclients / slowlog / maxmemory / AOF/RDB |
设限与策略,按需持久化,避免不必要暴露 |
以上策略可在 Debian 上通过编辑 /etc/redis/redis.conf 并配合系统防火墙与运维流程落地,显著降低未授权访问与数据泄露风险。