Redis缓存数据库安全加固指导（一）

背景

在众多开源缓存技术中，Redis无疑是目前功能最为强大，应用最多的缓存技术之一，参考2018年国外数据库技术权威网站DB-Engines关于key-value数据库流行度排名，Redis暂列第一位，但是原生Redis版本在安全方面非常薄弱，很多地方不满足安全要求，如果暴露在公网上，极易受到恶意攻击，导致数据泄露和丢失。

本文主要是在原生开源软件Redis3.0基础上，系统的在安全特性方面进行的增强,很多增强点涉及了开源代码的修改，后续章节阐述的Redis缓存数据库的安全规范, 理论上适用于所有应用Redis的产品。

本系列共连载三篇，分九个章节，本文从合法监听接口，未公开接口，访问通道控制三个章节阐述了Redis缓存数据库加固措施

 

1、合法监听接口

1.1 端口使用非默认端口

安全问题：Redis Server监听的端口默认为6379,容易被扫描攻击。

解决方案：修改为非默认端口，并在端口矩阵中说明。

1.2 监听地址不允许包括*

安全问题：Redis支持监听0.0.0.0。

解决方案：因为如果有多网卡，应该将监听地址设置为只有数据库客户端需要连接的网卡地址。如果只允许本机访问，应该只监听127.0.0.1。

1.3 隐蔽的RedisCluster端口

安全问题：官方RedisCluster方案缺省会增加一个集群端口，且是在客户端端口偏移10000，这个问题非常隐蔽。

解决方案：在端口矩阵中对额外的这个集群端口有说明。修改源码,新增一个redis.conf偏移量配置项cluster-port-increment，缺省配置+1，这样可以做到端口范围可控，避免冲突。

 

2、未公开接口

2.1 账号管理(重要)

安全问题：Redis只有一个超户，权限过大。

解决方案：权限最小化原则，增加配置项，角色区分超户，普通用户和只读用户三种。

角色