Ubuntu Redis安全配置指南
一����、基礎環境準備
在開始安全配置前��,需完成以下前置操作:
- 更新系統包列表及已安裝軟件�����,確保系統處于最新狀態:
sudo apt update && sudo apt upgrade -y
- 安裝Redis-server(若未安裝):
sudo apt install redis-server -y
二����、核心安全配置步驟
1. 限制訪問IP(網絡隔離)
2. 啟用強密碼認證
3. 調整保護模式(Protected Mode)
- 原理:保護模式限制Redis僅接受本地連接��,防止暴露在公網����。
- 操作:
- 生產環境必須開啟保護模式(
yes)����,禁止非本地連接:protected-mode yes
- 若需遠程訪問����,需配合
bind(綁定可信IP)和防火墻使用�,而非關閉保護模式�。
4. 禁用不必要的持久化(可選���,根據需求)
5. 限制客戶端連接數
- 原理:防止惡意客戶端發起大量連接����,耗盡服務器資源(如內存���、CPU)�����。
- 操作:在
redis.conf中設置maxclients參數����,限制最大連接數(如10000):maxclients 10000
6. 以非root用戶運行Redis
- 原理:降低權限提升風險�����,即使Redis被入侵��,攻擊者也無法直接獲取root權限��。
- 操作:
- 創建專用Redis用戶及目錄:
sudo useradd -r -s /bin/false redis
sudo mkdir -p /var/lib/redis
sudo chown redis:redis /var/lib/redis
sudo chmod 750 /var/lib/redis
- 修改Redis配置文件���,指定用戶:
user redis
- 重啟Redis服務:
sudo systemctl restart redis-server
三����、高級安全增強(可選)
1. 修改默認端口
- 原理:降低被自動化掃描工具(如nmap)命中的概率�����。
- 操作:在
redis.conf中修改port參數(如16379)����,并更新防火墻規則:port 16379
sudo ufw allow 16379/tcp
2. 使用防火墻強化訪問控制
- 推薦工具:Ubuntu默認使用
ufw(Uncomplicated Firewall)�,操作簡便�。
- 操作:
- 允許Redis端口(默認6379或自定義端口)的TCP流量:
sudo ufw allow 6379/tcp
- 啟用ufw并檢查狀態:
sudo ufw enable
sudo ufw status verbose
3. 啟用Redis ACL(訪問控制列表�����,Redis 6.0+)
- 原理:替代傳統的
requirepass����,實現更細粒度的權限控制(如讀���、寫���、管理命令權限)�����。
- 操作:
- 在
redis.conf中啟用ACL并配置用戶權限:aclfile /etc/redis/users.acl
- 創建
/etc/redis/users.acl文件��,定義用戶及權限(示例):user admin on >AdminPass123 ~* +@all # 管理員用戶���,擁有所有權限
user app_user on >AppPass456 ~cache:* +get +set # 應用用戶�����,僅能訪問cache:*鍵��,支持get/set
- 重啟Redis服務使配置生效:
sudo systemctl restart redis-server
- 連接時使用ACL認證:
redis-cli -h 127.0.0.1 -p 6379
AUTH admin AdminPass123
四����、驗證配置有效性
-
檢查Redis服務狀態:
sudo systemctl status redis-server
(狀態應為active (running))
-
測試密碼認證:
redis-cli
AUTH sTr0ng@RedisP@ss2025!
SET test_key "Hello Redis"
GET test_key
(應返回"Hello Redis")
-
測試IP訪問限制:
- 從非綁定IP(如
10.0.0.10)嘗試連接�,應收到Connection refused錯誤��。
五��、日常維護建議
通過以上配置��,可顯著提升Ubuntu環境下Redis的安全性�,防范常見的未授權訪問�、數據泄露等風險��。
