企业级Redis安全实践的核心是多层认证与访问控制：1.启用requirepass密码认证，结合ACL用户权限细粒度划分；2.部署TLS/SSL加密传输，防范中间人攻击；3.绑定trusted IP，使用防火墙限制访问；4.禁用危险命令如FLUSHALL、CONFIG；5.开启Redis Sentinel或Cluster高可用，定期审计日志。实际配置示例：requirepass your_strong_password；在redis.conf添加user default on nopass ~* +@all，user readonly on >readonlypass ~* +@read | ~keys；企业实践证明，这些策略可将安全风险降低90%以上。

一、基础认证配置

在redis.conf配置文件中添加requirepass yourpassword行，重启Redis服务即可启用密码认证。客户端连接时需AUTH yourpassword。建议密码长度16位以上，包含大小写字母、数字、特殊字符，每3个月轮换一次。

Redis 6.0+ ACL认证机制详解

Redis 6引入ACL（Access Control List），支持多用户、多密码、命令权限、键权限控制。配置示例：ACL SETUSER alice on >mypassword ~* +@read +@hash +@list ~app:*，创建只读用户alice，仅允许读app前缀键的hash/list命令。企业中可按角色划分：admin（全权限）、ops（运维读写）、app（业务只读）。

TLS加密传输实践

生成自签名证书：openssl req -x509 -newkey rsa:4096 -keyout redis.key -out redis.crt -days 365 -nodes。redis.conf配置：tls-port 6380、port 0（禁用明文）、tls-cert-file redis.crt、tls-key-file redis.key。客户端连接：redis-cli --tls -p 6380 -h yourhost。企业级推荐使用Let's Encrypt免费证书，结合CDN加速部署。

网络访问控制与防火墙

bind 127.0.0.1 10.0.0.* 只监听内网IP。Linux iptables规则：iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 6379 -j ACCEPT；iptables -A INPUT -p tcp --dport 6379 -j DROP。云环境使用安全组，精确放行业务IP段。实践证明，90%Redis攻击源于公网暴露。

禁用危险命令与Lua沙箱

redis.conf中rename-command FLUSHDB ""、rename-command FLUSHALL ""、rename-command CONFIG ""禁用高危命令。ACL中user safeuser on >pass ~safe:* -DEBUG -CONFIG -FLUSH*。Lua脚本执行使用EVALSHA预加载哈希，避免动态加载风险。

监控审计与高可用

启用slowlog log-slower-than 10000，定期分析慢查询。日志slowlog get 1000 | grep -i error。部署Sentinel监控，主从异步复制+自动故障转移。企业实践：Prometheus+Grafana监控连接数、内存、QPS，告警阈值内存80%、连接峰值5000。

Redis持久化安全强化

AOF优先于RDB，appendfsync everysec，no-appendfsync-on-rewrite yes。AOF文件权限700，存放加密分区。脚本每日执行：find /var/lib/redis -name "appendonly.aof" -mtime +7 -delete自动清理旧AOF。结合WAL预写日志，确保99.99%数据安全。

FAQ
Q: Redis密码认证和ACL哪个更好？
A: ACL更优，支持细粒度权限，企业必须用。
Q: 如何检测Redis被攻击？
A: 监控慢日志、异常连接数、内存暴增立即告警。
Q: 云Redis如阿里云RDS如何安全？
A: 开启SSL、白名单、子账号最小权限。
Q: 忘记requirepass密码怎么办？
A: 停止服务，临时注释requirepass行，重启后修改。