别让外网擅闯Redis（redis 被外网访问）

别让外网擅闯Redis

Redis是一个开源的key-value存储系统。它的主要特点是支持多种数据结构，如string（字符串）、hash（哈希）、list（列表）、set（集合）、zset（有序集合）等，以及支持多种数据操作，如删除、过期、定时清除等。

但是，由于Redis默认监听所有网卡，因此如果没有正确地配置Redis服务器，就可能出现外网擅闯Redis的问题。这种问题不仅可能危及Redis本身的数据安全，还可能影响到整个应用系统的稳定性和安全性。

为了避免这种问题的发生，我们需要做以下几个方面的安全配置：

1.配置密码验证

Redis支持通过设置密码验证来限制对Redis服务器的访问。具体实现方法是，在Redis的配置文件（通常是/etc/redis/redis.conf）中添加以下配置项：

requirepass yourpassword

其中yourpassword指定密码字符串。设置了密码验证后，访问Redis服务器的客户端必须在连接时使用AUTH命令提供正确的密码才能通过验证。例如，使用redis-cli客户端访问时，可以使用以下命令：

redis-cli -a yourpassword

2.限制绑定IP地址

Redis可以通过配置bind选项来限制允许连接的网络接口。例如，可以使用以下配置将Redis服务器绑定在本地回环接口上：

bind 127.0.0.1

这样，外部网络就无法通过网络接口直接连接到Redis服务器。

3.限制访问端口

在默认情况下，Redis监听端口为6379。如果您的应用程序只在内部网络中使用Redis，建议将其监听端口改为内部网络中的特定端口，并通过防火墙等机制限制外部网络的访问。

例如，可以使用以下配置将Redis服务器监听端口修改为6380：

port 6380

同时，可以使用iptables等防火墙工具来设置只允许内部网络的IP地址访问Redis服务器的6380端口。例如，可以使用以下命令：

iptables -A INPUT -p tcp -s 192.168.0.0/16 --dport 6380 -j ACCEPT
iptables -A INPUT -p tcp --dport 6380 -j DROP

这样，只有来自192.168.0.0/16网段的主机才能访问Redis服务器的6380端口。

4.关闭危险命令

Redis支持一些危险的命令，如FLUSHDB（清空当前数据库的所有数据）、FLUSHALL（清空所有数据库的所有数据）、CONFIG SET（修改Redis服务器的配置项）等。这些命令可能导致数据丢失或安全漏洞，因此需要谨慎使用。建议在Redis服务器上禁用这些命令，并限制具有特权的用户才能执行它们。

例如，可以使用以下配置禁用FLUSHDB和FLUSHALL命令：

rename-command FLUSHDB ""
rename-command FLUSHALL ""

这样，即使客户端尝试执行这些命令，Redis服务器也会返回错误提示。

为了避免外网擅闯Redis，我们需要对Redis服务器做好安全配置，限制外部网络的访问，设置密码验证，禁用危险命令等。只有这样，才能保证Redis服务的数据安全和稳定性，为应用系统提供可靠的数据存储支持。