Debian Redis安全设置要点如下:
- 更新系统与Redis:定期升级系统和Redis到最新版本,修复安全漏洞。
- 限制访问权限
- 绑定IP:在
/etc/redis/redis.conf中设置bind 127.0.0.1,仅允许本地访问。 - 配置防火墙:使用
ufw或iptables限制Redis端口(默认6379)的访问IP。
- 绑定IP:在
- 身份认证
- 启用密码认证:在
redis.conf中设置requirepass "强密码",密码需包含大小写字母、数字及特殊字符。 - 禁用默认账户或重命名危险命令:如
rename-command CONFIG ""。
- 启用密码认证:在
- 数据加密与持久化
- 启用SSL/TLS加密通信(Redis 6.0+):配置证书路径
ssl-cert-file和ssl-key-file。 - 按需选择持久化方式(RDB/AOF),避免数据丢失。
- 启用SSL/TLS加密通信(Redis 6.0+):配置证书路径
- 文件与日志安全
- 设置配置文件权限为
600,仅允许Redis用户访问。 - 配置日志文件路径并限制权限,如
logfile /var/log/redis/redis-server.log。
- 设置配置文件权限为
- 服务配置优化
- 使用专用用户运行Redis,避免以
root身份启动。 - 禁用保护模式(若需远程访问)或确保
protected-mode yes时仅限本地访问。
- 使用专用用户运行Redis,避免以
- 监控与审计
- 启用详细日志记录,定期分析异常行为。
- 定期备份数据,可使用
redis-dump或BGSAVE命令。