Linux Redis安全配置要注意什么

Redis 在 Linux 上的安全配置要点

一 网络与访问控制

• 禁止对公网开放，仅监听必要接口：在 redis.conf 设置 bind 127.0.0.1（或内网 IP），避免监听 0.0.0.0；如确需远程，仅在内网环境通过跳板或专线访问。
• 用防火墙限制来源 IP：如使用 iptables 仅放行可信网段到 6379/tcp，或 firewalld 精细化策略。
• 修改默认端口：将 port 6379 改为非默认端口，降低被扫描概率（同时同步更新防火墙策略）。
• 保持保护模式开启：确保 protected-mode yes，在未显式配置 bind 与密码时阻止外部访问。
• 主从复制场景：为从库配置 masterauth <与主库一致的密码>，避免复制链路中断。

二 身份鉴别与权限最小化

• 启用强密码认证：在 redis.conf 设置 requirepass <强密码>；密码建议长度≥8 位，包含大小写字母、数字与特殊字符，避免弱口令。
• 不以 root 运行：创建专用系统用户（如 redis），使用最小权限启动服务，禁止登录 shell（如 /sbin/nologin）。
• 保护配置文件与目录：配置文件权限设为 600，Redis 数据/日志目录权限设为 700，防止敏感信息泄露与篡改。
• 版本与补丁：及时升级到包含最新安全修复的稳定版本，修复历史高危漏洞。

三 命令与脚本安全

• 禁用或重命名危险命令：通过 rename-command 将 FLUSHALL、FLUSHDB、CONFIG、KEYS、SHUTDOWN、DEL、EVAL 等设为空（禁用）或改为不可猜测的随机字符串（保留功能但提高门槛）。
• 谨慎使用 Lua：避免执行来自不可信来源的 Lua 脚本，必要时在业务侧做严格输入校验与沙箱隔离。
• 主从与复制安全：从库必须配置与主库一致的 masterauth，确保复制链路在鉴权开启后仍能正常工作。

四 加密传输与持久化安全

• 加密传输：在 redis.conf 启用 SSL/TLS（如 ssl on、ssl_cert_file、ssl_key_file），客户端使用 ssl=True 连接，保护数据在网络中的机密性与完整性。
• 持久化与备份：根据业务选择 RDB/AOF，并妥善设置文件权限与备份策略；避免将持久化文件放在 Web 可访问目录，防止被下载或篡改。
• 日志与审计：开启并轮转日志（如 logfile、syslog-enabled），定期审计异常命令与连接来源。

五 快速核查清单