Debian Redis配置中的安全设置有哪些

Debian 上 Redis 的安全设置清单

一 网络与访问控制

• 绑定内网地址：在 /etc/redis/redis.conf 设置 bind 127.0.0.1 ::1 或仅绑定内网 IP，避免对公网开放；如确需对外，仅开放给受控网段。示例：bind 192.168.1.100。
• 修改默认端口：将 port 6379 改为非默认端口（如 6380），降低被扫描概率。
• 保护模式：保持 protected-mode yes，仅当为受信网络且已配置认证/ACL 时才考虑关闭。
• 防火墙限制：使用 ufw/iptables 限制来源 IP 访问 6379/tcp。示例：ufw 仅允许内网段访问。
• 可选 Unix 域套接字：启用 unixsocket /run/redis.sock 并设置 unixsocketperm 700，仅本机本地访问。

二 身份认证与命令权限

• 强口令认证：设置 requirepass <强密码>（如：Complex@Pass2024），所有客户端连接需提供密码。
• 精细化权限：Redis 6.0+ 使用 ACL 为用户分配最小权限。示例：
  • ACL SETUSER reader on >reader123 allkeys +get +scan +ping
  • ACL SETUSER writer on >writer123 allkeys +set +get +del
• 禁用/重命名危险命令：降低被滥用风险。示例：
  • rename-command FLUSHALL “”
  • rename-command CONFIG “”
  • rename-command SHUTDOWN SHUTDOWN_MYREDIS

三 传输与加密

• 启用 TLS/SSL：配置 tls-port 6379、tls-cert-file、tls-key-file、tls-ca-cert-file 实现传输加密；必要时禁用明文端口（port 0）。
• 注意编译支持：若通过包管理器安装，通常已包含 TLS；从源码编译需开启 BUILD_TLS=yes 并具备 OpenSSL 依赖。

四 运行环境与系统加固

• 最小权限运行：以 redis:redis 系统用户运行，数据目录（如 /var/lib/redis）与配置文件权限最小化。
• 资源与稳定性：设置 maxclients（如 10000）、开启 tcp-keepalive 300、配置 timeout，并设定 maxmemory 与淘汰策略（如 allkeys-lru）防止 OOM。
• 日志与审计：启用并轮转日志（如 /var/log/redis/redis.log），定期审计异常访问与慢查询。
• 补丁与更新：定期执行 apt update && apt upgrade redis-server，及时修复安全漏洞。

五 快速检查与生效

• 配置文件路径：Debian 常见为 /etc/redis/redis.conf；可通过 ps aux | grep redis、systemctl status redis 或查看服务文件确认实际加载的配置。
• 使配置生效：修改后执行 sudo systemctl restart redis-server；验证：
  • 本地：redis-cli 执行 ping，返回 PONG
  • 认证：redis-cli -a <密码> 或先连接后 AUTH <密码>
  • 远程：从受控主机测试连通与认证，确认防火墙与 bind 策略生效。