Redis密码登录安全怎么搞，别让没密码的都能进你的数据库

最重要也是最基础的一点,就是给你的Redis设置一个强密码，这就像你家的门锁，不能因为嫌麻烦就不装，很多人在自己电脑上测试Redis的时候，为了图省事，直接就让它空密码运行了，结果部署到服务器上就把这个事给忘了，黑客有专门的工具，每天都在扫描互联网上那些没有密码保护的Redis服务器，一旦发现，你的数据库就相当于一个公共厕所，谁都能进来看看，甚至搞点破坏，设置密码的方法很简单，在Redis的配置文件redis.conf里，找到一行叫“requirepass”的配置，默认这行前面是有个井号注释掉的，你把这个井号去掉，然后在后面写上你的密码，requirepass MySuperStrongPassword123!”，然后重启Redis服务就行了，这样，以后任何客户端想要连接Redis，都必须先输入这个密码进行认证。（来源：基于Redis官方文档中关于安全性的基本说明）

光有密码还不够,你得确保这个密码不会被轻易猜到，不要用“123456”、“password”、“redis”这种弱密码，这跟没设密码差不多，应该使用长度足够长（建议12位以上）、包含大小写字母、数字和特殊符号的复杂密码，最好使用密码管理器来生成和保存这个密码。

设置了密码,下一步就是改变Redis默认的监听端口，Redis默认使用6379端口，这几乎是尽人皆知的事情，攻击者扫描的时候，首先就是扫这个端口，你可以把它改成一个不常用的高端口号，6380”或者“23879”之类的，这就像把你们家的门从临街的大门口，挪到了一个不太起眼的小巷子里，虽然不能绝对防止被找到，但能大大减少被偶然发现或者自动化工具扫中的概率，修改方法同样在redis.conf文件里，找到“port 6379”这一行，把数字改成你想要的端口号。（来源：基于常见的服务器安全加固实践）

还有一个非常重要的措施,就是限制Redis只能被信任的IP地址访问，如果你的应用和Redis数据库部署在同一台服务器上，那么最好的做法是只允许本机（127.0.0.1）访问Redis，这样，即使你的Redis有漏洞或者密码被破解，来自互联网的攻击者也根本无法连接到它，实现这个目标可以通过操作系统的防火墙（如iptables或firewalld）来设置规则，只允许特定的服务器IP连接Redis的端口，更直接的方法是在redis.conf配置文件里，找到“bind”指令，默认可能是“bind 127.0.0.1 -::1”或者被注释掉，你可以明确指定只绑定到内网IP或者回环地址，bind 127.0.0.1 192.168.1.100”，这样Redis就只会监听这些网络接口上的连接请求，外部IP根本无法连接。（来源：基于Redis官方文档对bind配置参数的说明）

对于那些不需要使用的危险命令,可以考虑将它们重命名或者彻底禁用，Redis有一些命令非常强大但也非常危险，FLUSHALL”可以清空整个数据库，“CONFIG”可以让客户端直接修改服务器配置，如果攻击者获取了权限，他们可能会利用这些命令造成更大的破坏，在redis.conf文件中，你可以使用“rename-command”指令来给这些命令换一个只有你自己知道的奇怪名字，或者直接将其重命名为一个空字符串来禁用。“rename-command FLUSHALL “”” 就禁用了清空数据库的命令；“rename-command CONFIG “a_very_long_random_string_that_nobody_can_guess”” 就把CONFIG命令改成了一个复杂的名字。（来源：基于Redis官方文档中关于“重命名命令”以提升安全性的建议）

定期更新Redis的版本也是一个好习惯,就像你的手机操作系统需要更新一样，Redis的开发团队会不断修复新发现的安全漏洞，使用一个过时的、已知存在漏洞的版本，就等于给攻击者留下了后门，你应该关注Redis的发布公告，并及时将你的Redis升级到稳定的新版本。

但并非不重要的是,管理好你的配置文件redis.conf的权限，这个文件里存放着你的密码等重要信息，应该确保只有Redis进程的运行用户和有权限的管理员才能读取它，不应该让系统上其他无关的用户也能看到这个文件的内容。

保护Redis密码登录安全不是单一措施就能搞定的,需要一套组合拳：设置一个强密码是基础，修改默认端口增加隐蔽性，绑定IP限制访问来源是最有效的防护之一，禁用危险命令减少损失面，保持软件更新堵住已知漏洞，最后管好配置文件本身，这些步骤都做到了，你的Redis数据库安全性就会大大提高，不再是那个“没密码都能进”的开放空间了。