redis的安全初识

大家好，我是非伈，一位php的开发工程师。这边是我的第一个csdn的微博，记录一下我学习的经历和成长。如果有什么不正确的地方，欢迎大家指点。
因为，之前学习的时候没有写过微博。这次写微博是因为，公司这边组成了学习小组，小组通过微博的方式进行比赛。这边也想了一些，写微博，既可以增加自己的写作能力，又可以深化了解自己的知识，何乐而不为呢？
这次我学了redis的安全问题，之前的学习，我这边会抽时间补上的！

这次，我根据微信读书里面的一本书叫《Redis入门指南》进行学习。书中对于安全，有这么几个好用的招数。

一、可信的环境
     原话：Redis的安全设计是在“Redis运行在可信环境”这个前提下做出的，在生产环境运行时不能允许外界直接连接到Redis服务器上，而应该通过应用程序进行中转，运行在可信的环境中是保证Redis安全的最重要方法。

    我这边是这么理解的：就是在服务器上部署redis时，将redis的访问ip默认指向本地，只有本地，通过程序的校验，才能通过本地自己写的代码进行访问。就可以防止其他ip的访问了。

    使用：bind 127.0.0.1 

 

二、数据库密码

   通过配置文件中的requirepass参数为Redis设置一个密码。设置命令：requirepass TAFK(@～!ji^XALQ(sYh5xIwTn5D$s7JF。

通过redis输入密码进行链接：redis＞ AUTH TAFK(@～!ji^XALQ(sYh5xIwTn5D$s7JF。

密码是肯定可以破解的。所以，需要复杂，并且经常更换。

 

三、命名命令

Redis支持在配置文件中将命令重命名，比如将FLUSHALL命令重命名成一个比较复杂的名字，以保证只有自己的应用可以使用该命令。就像这样：rename-command FLUSHALL oyfekmjvmwxq5a9c8usofuo369x0it2k

这个应该是将存入的名称进行复杂化命名，程序根据一套规则进行重命名，到时候，人都不知道哪个是哪个，只能通过程序进行查找。

 

以上就是在微信读书的这本书上介绍的三种方法，如果想要了解redis的朋友，可以看一下这个入门，讲的还是很详细的，还有例子等等。

 

在看这本书的同时，我还翻阅了别人的博客，学到了另一种方案。
 

四、限制redis文件目录访问权限
设置redis的主目录权限为700；如果redis配置文件独立于redis主目录，权限修改为600，因为Redis密码明文存储在配置文件中。

$chmod 700 /var/lib/redis   #redis目录
$chmod 600 /etc/redis/redis.conf  #redis配置文件

将这个文件目录的访问权限进行限制，就可以不让别人能够修改redis数据文件。就是只读模式。

五、其它

1. 监控redis安全状态，cmdstat_auth cmdstat_flushdb/flushall监控报警。

2. Redis设计旨在提供高性能的KV服务，至少目前在权限访问控制和数据持久化方面比较弱化。所以禁止在Redis中存储或缓存敏感的明文数据。

3. 针对之前Redis版本，默认无bind和密码设置存在很大安全风险；Redis3.2版本提出新特性protected mode(保护模式)。