怎么弄个安全的Redis远程访问环境，还有ssh配合着用的那些事儿

要弄一个安全的Redis远程访问环境，同时配合SSH使用，这事儿说白了就是给Redis这个不设防的“仓库”加上几道坚固的锁，并且给访问者发一把安全的“钥匙”，直接上干货,我们一步步来。

第一道锁：别让Redis裸奔在公网上

这是最最最重要的一步，默认情况下，Redis为了简单起见，绑定在127.0.0.1这个地址上，意思是只有它自己那台机器能访问，但有些人为了图省事，会把这个绑定改成0.0.0.0，让全世界都能连，这相当于把仓库大门敞开，非常危险，首先你得检查Redis的配置文件（通常是redis.conf），确保bind指令后面跟着的是127.0.0.1或者你的服务器内网IP，绝对不是0.0.0.0，这样，Redis就只监听本地或内部网络的连接了，从互联网上直接是扫不到你的Redis端口的。（来源：基于Redis安全实践常见建议）

第二道锁：给Redis加个密码

光藏起来还不够，万一有人摸进来了呢？得有个门禁密码，在同一个redis.conf文件里，找到requirepass这个配置项，去掉注释，设置一个又长又复杂的密码，这样，任何客户端想要连接Redis，都必须先提供这个密码才行，设置完后，记得重启Redis服务让配置生效，不过要提醒一点，这个密码是明文传输的，如果网络被窃听，还是有风险，所以它算是一道基础防线。（来源：Redis官方文档关于认证的说明）

第三道锁，也是核心技巧：请出SSH这位“安全特工”

上面两种方法虽然有用，但还不够优雅和安全，这时候SSH（Secure Shell）就派上用场了，SSH就像一个加密的隧道，能把你的网络连接安全地从一个地方传送到另一个地方，我们可以利用它来创建一个“SSH隧道”。

具体怎么玩呢？假设你的Redis服务器IP是123.123.123.123，你本地电脑想安全地连上去，你不需要让Redis的6379端口直接暴露在公网上。 instead,你可以在你本地电脑上执行一条这样的命令：

ssh -L 6379:127.0.0.1:6379 username@123.123.123.123

这条命令的意思是：请你本地的SSH客户端，在本地（127.0.0.1）也开一个6379端口，所有发往你这个本地6379端口的连接，都会通过那条加密的SSH隧道，安全地转发到远端的123.123.123.123服务器的127.0.0.1:6379上。

这样一来，神奇的事情发生了：对你本地的Redis客户端软件（比如Another Redis Desktop Manager）它感觉Redis服务就在它自己身边（本地127.0.0.1:6379），它直接连这个地址就行，但它发出的所有数据，实际上都被SSH在背后悄无声息地加密、打包、安全地送到了远端的Redis服务器，因为连接全程在SSH隧道里，所以你的Redis密码和数据传输都是被加密保护的，不怕被窃听，远端服务器根本不需要对公网开放Redis的6379端口，大大减少了被攻击的面。（来源：基于SSH隧道技术的普遍应用原理）

SSH配合的“那些事儿”：密钥登录和堡垒机

光有隧道还不够，SSH本身的安全也要保障,这里有两件事很重要：

1. 用密钥代替密码登录SSH：登录SSH时，不要用容易破解的密码，最好使用SSH密钥对，你本地电脑生成一对密钥（一个公钥，一个私钥），把公钥放到服务器上，登录时，服务器用公钥挑战，你本地用私钥应答，这比密码安全得多，几乎无法暴力破解，这也是为什么很多高手都不用密码登录服务器的原因。（来源：SSH密钥认证的基础知识）
2. 改掉默认SSH端口：黑客经常扫描22端口尝试攻击，把服务器的SSH端口从一个众所周知的端口（如22）改成一个不常用的高端口号（比如五位数端口），能自动屏蔽掉绝大部分自动化攻击脚本，耳根子瞬间清静很多。（来源：服务器安全加固的常见措施）

总结一下最推荐的流程：

1. 服务器端配置：确保Redis绑定127.0.0.1，并设置强密码，配置SSH，禁用密码登录（只用密钥登录）,并修改默认端口。
2. 本地连接时：使用SSH隧道命令（记得在命令里指定你修改后的SSH端口号，用-p参数）,先建立起加密通道。
3. 本地客户端连接：在Redis客户端中，服务器地址填127.0.0.1，端口6379,并填入Redis密码。

这套组合拳下来，你的Redis远程访问环境的安全性就得到了极大的提升，它既利用了SSH强大的加密和认证机制来保证传输链路的安全，又通过将Redis服务本身隐藏在内网，极大地减少了直接暴露的风险,这可以说是兼顾了安全性和便利性的一个经典做法。