笙亿网络策划

Redis端口安全配置指南,分享关键放行策略与防护技巧

约 5 分钟读完 7 阅
文章导读
结论与关键配置:Redis默认端口6379,仅放行特定IP访问,使用bind 127.0.0.1 ::1限制本地;设置requirepass密码;iptables规则-A INPUT -s 信任IP -p tcp --dport 6379 -j ACCEPT;防火墙firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source
📋 目录
  1. 来源1
  2. 来源2
  3. 来源3
  4. 来源4
  5. 来源5
  6. 来源6
  7. 来源7
A A

结论与关键配置:Redis默认端口6379,仅放行特定IP访问,使用bind 127.0.0.1 ::1限制本地;设置requirepass密码;iptables规则-A INPUT -s 信任IP -p tcp --dport 6379 -j ACCEPT;防火墙firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="信任IP" port protocol="tcp" port="6379" accept';禁用危险命令如CONFIG FLUSHALL,使用rename-command禁用;启用TLS加密端口;结合SELinux或AppArmor限制进程。

来源1

在生产环境中,Redis端口暴露在公网是极其危险的。首先,通过bind指令绑定特定IP,例如bind 192.168.1.100 127.0.0.1,只允许这些IP访问。其次,设置强密码requirepass your_strong_password。再次,使用防火墙精确放行:iptables -A INPUT -p tcp -s 10.0.0.0/24 --dport 6379 -j ACCEPT iptables -A INPUT -p tcp --dport 6379 -j DROP。

来源2

Redis安全配置第一步是关闭protected-mode yes,并强制bind到内网IP。防火墙策略:只开放管理机器IP到6379端口,例如ufw allow from 192.168.1.50 to any port 6379。启用ACL用户认证user default on nopass ~* +@all,避免匿名访问。监控端口扫描,使用fail2ban保护。

来源3

关键放行策略:使用云服务器安全组,仅允许特定安全组或IP访问6379端口。Redis.conf中protected-mode yes,bind 0.0.0.0但结合防火墙:firewall-cmd --zone=public --add-port=6379/tcp --permanent,但立即添加source:firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=\"10.0.0.0/16\" port port=\"6379\" protocol=tcp accept"。禁用keys *等命令。

来源4

防护技巧:1. 改默认端口为非6379,如6380迷惑扫描;2. requirepass结合ACL;3. TCP-Wrapper /etc/hosts.allow redis-server: 192.168.1.0/24;4. 使用stunnel或Redis TLS;5. 日志监控tail -f /var/log/redis/redis.log | grep "Unauthorized"。

Redis端口安全配置指南,分享关键放行策略与防护技巧

来源5

阿里云ECS Redis端口配置:安全组入站规则添加TCP 6379,仅来源0.0.0.0/0改成特定IP。Redis配置bind 127.0.0.1,哨兵模式端口26379同样放行。使用redis-sentinel.conf的protected-mode yes。iptables持久化:iptables-save > /etc/sysconfig/iptables。

来源6

高级防护:结合ipset创建白名单ipset create redis_whitelist hash:ip iptables -I INPUT -m set --match-set redis_whitelist src -p tcp --dport 6379 -j ACCEPT。Redis模块加载redis-limit防暴力破解。Docker部署时--network=host但映射端口时-u防火墙。

来源7

常见错误避免:不要bind 0.0.0.0公网;密码弱如123456;未重载防火墙service firewalld reload。测试配置:redis-cli -h your_ip -p 6379 -a pass auth测试连通性。

FAQ
Q: 如何快速测试Redis端口是否安全?
A: 使用nmap -p 6379 your_ip检查开放;redis-cli -h your_ip ping看是否需密码。
Q: 公网Redis必须暴露端口吗?
A: 不推荐,使用VPN或SSH隧道转发端口。
Q: 忘记密码怎么重置?
A: 停止Redis,redis-server --requirepass newpass临时启动覆盖,或编辑conf重启。
Q: 多实例Redis端口怎么配置?
A: 不同port如6379/6380,分别bind和防火墙放行。
Q: Windows防火墙怎么设置?
A: 新建入站规则TCP特定端口,允许特定IP。