Ubuntu Redis的安全策略如何配置

以下是Ubuntu Redis的安全策略配置要点，基于官方推荐及安全实践整理：

一、基础安全配置

1. 限制访问IP
   编辑配置文件 /etc/redis/redis.conf，找到 bind 参数，确保其值为 127.0.0.1，仅允许本地访问。

   bind 127.0.0.1
   

2. 启用密码认证
   在配置文件中找到 # requirepass foobared，取消注释并替换为强密码（如 requirepass your_strong_password），重启Redis生效。

   requirepass your_secure_password
   

3. 禁用危险命令
   在配置文件的 SECURITY 部分，使用 rename-command 重命名或禁用高危命令（如 FLUSHDB、CONFIG 等）。例如：

   rename-command FLUSHDB ""
   rename-command CONFIG "SECURE_CONFIG"
   

二、服务与权限管理

1. 以非root用户运行
   确保Redis以专用用户（如 redis）运行，避免使用root权限。可通过以下命令检查：

   ps aux | grep redis
   

2. 配置防火墙
   使用 ufw 限制Redis端口（默认6379）仅允许可信IP访问：

   sudo ufw allow from <trusted_ip> to any port 6379
   sudo ufw deny 6379
   

三、高级安全策略

1. 启用持久化与备份

   • 配置RDB或AOF持久化，避免数据丢失：

     save 900 1  # 900秒内至少1次修改则保存
     appendonly yes
     

   • 定期备份数据目录（默认 /var/lib/redis）。

2. 监控与日志

   • 启用Redis日志记录（logfile /var/log/redis/redis-server.log），并定期分析异常访问。
   • 使用工具（如 redis-cli --stat 或第三方监控工具）实时监控内存、连接数等指标。

四、验证与维护

1. 测试配置生效
   通过 redis-cli 验证密码认证和访问限制：

   redis-cli -a your_password  # 正确密码应返回OK
   redis-cli ping              # 应返回PONG
   

2. 定期更新与审计

   • 定期升级Redis到最新版本，修复安全漏洞。
   • 审计配置文件权限，确保仅授权用户可修改（chmod 600 /etc/redis/redis.conf）。

参考来源