Redis开外网端口，数据随时能用，但安全别忘了考虑下

关于Redis开放外网端口这件事,就是把你原本只在自己公司内部服务器上运行的Redis数据库，开一个门让互联网上的其他电脑也能访问到，这听起来确实很方便，比如你可以在家办公时直接连接公司的Redis查数据，或者让你的某个在外网运行的业务系统直接使用这个Redis，但这么做的时候，安全问题就像一把时刻悬在头顶的剑，绝对不能忽视，我得提醒你，如果安全措施没做好，后果可能非常严重。

（来源：基于常见的云服务安全实践和Redis的默认配置特性）

为什么说风险很大呢？这得从Redis的设计初衷说起，Redis最初是为了在可信赖的内部网络环境中追求极致的性能而设计的，它本身在安全方面考虑得就比较简单，最典型的一个问题就是，很多人在安装完Redis后，根本不去设置密码，或者只是用一个非常简单的密码，你可以想象一下，这就像是你家的保险箱，出厂设置了一个通用密码“123456”，而且很多人都懒得去改，如果你的Redis服务器暴露在公网上，又没有强密码保护，那么全世界的扫描机器人分分钟就能发现它，并且尝试用这个弱密码或者空密码登录进去，一旦被登录，你里面存的所有数据，无论是用户信息、会话记录还是其他业务数据，就都暴露在攻击者眼前了。

（来源：Redis官方文档中对安全性的说明以及常见安全事件分析）

光有密码可能还不够,因为如果密码在网络上以明文传输，还是有可能被窃听工具截获，这就引出了另一个需要考虑的点：加密传输，普通的Redis连接是不加密的，数据在网络上传送就像明信片一样，谁都能看到内容，对于外网访问这种场景，应该考虑使用SSL/TLS加密通道，这相当于在你们的通信之间建立了一条专用的、加密的隧道，即使数据包被截获，攻击者看到的也是一堆乱码，无法知道真实内容是什么，虽然配置起来比不加密码麻烦一点，但对于外网访问来说，这层保护是非常有价值的。

（来源：网络通信安全的基本原理和Redis对TLS的支持）

还有一个容易被忽略但非常危险的设置,就是Redis的配置命令，Redis有一系列以“CONFIG”开头的命令，功能非常强大，比如攻击者登录后可以通过CONFIG SET命令动态修改Redis的配置，甚至指定一个恶意的模块来加载，从而完全控制你的服务器，在外网环境下，强烈建议通过配置文件中的 rename-command 指令，把这些危险命令给重命名成一个别人猜不到的复杂字符串，或者直接禁用它，这就好比你把家里所有危险工具都锁进一个带密码的工具箱，而不是随意放在桌上。

（来源：Redis配置文件注释和网络安全加固指南）

除了Redis自身的配置,运行Redis的那台服务器的防火墙也是第一道防线，你不能简单粗暴地直接把Redis的默认端口6379对外完全敞开，更安全的做法是，通过防火墙规则严格限制允许连接的源IP地址，比如说，只允许你公司的办公网络出口IP，或者你的某个特定云服务器的IP来访问这个Redis端口，其他任何陌生的IP地址尝试连接，都会被防火墙直接拒绝，这样即使有人发现了你的Redis服务，也因为IP不在白名单里而无法建立连接，大大降低了被攻击的面，这就像小区保安，他只允许登记在册的住户进入，陌生人一律拦下。

（来源：服务器系统管理中的防火墙最佳实践）

定期更新Redis的版本也很重要,就像任何软件一样，Redis也会时不时被发现一些安全漏洞，官方会发布新版本来修复这些漏洞，如果你一直使用一个很老的、存在已知漏洞的版本，并且还把它放在公网上，那就等于给攻击者提供了一个明确的攻击目标，保持Redis版本更新到稳定版，可以避免因为已知漏洞而中招。

（来源：软件安全维护的通用原则）

别忘了最小权限原则,用来运行Redis服务的那个系统账户，不应该拥有过高的系统权限，最好能专门创建一个权限很低的普通用户来运行Redis，并且限制它只能访问必要的文件和目录，这样即使Redis服务被攻破，攻击者获得的权限也是受限的，很难进一步危害到服务器上的其他数据和应用。

（来源：操作系统安全中的权限管理原则）

让Redis能被外网访问确实能带来灵活性,但你必须清醒地认识到随之而来的安全风险，这件事不能简单地一开了之，它需要你像对待一个可能被攻击的目标一样，系统地、层层设防地去考虑安全问题，从设置强密码、启用加密通信，到配置防火墙白名单、禁用危险命令，再到保持软件更新和遵循最小权限原则，这一系列措施组合在一起，才能在你享受便利的同时，为你的数据筑起一道相对坚固的防线，千万不要因为图一时方便，而把包含重要数据的Redis服务毫无保护地暴露在公开网络环境中，那样的代价很可能远超你的想象。