Redis 公网部署避坑指南：从裸奔到武装到牙齿的安全配置

大家好，我是 Redis 的忠实用户（也是被它坑过的倒霉蛋）。今天想和大家聊聊把 Redis 部署到公网环境时，那些我踩过的坑和总结出来的最佳实践。上周帮朋友排查一个 Redis 被黑的事故，发现很多人对公网暴露 Redis 的危险性还是认识不足，索性把经验整理成文。

第一节：为什么说裸奔 Redis 等于自杀？

记得 2018 年我刚工作时，图省事直接在云服务器上 redis-server & 就跑起来了。结果第二天就收到了云厂商的安全告警——我的 Redis 成了肉鸡在疯狂扫描其他服务器。后来才知道，默认配置的 Redis 存在几个致命问题：

• 默认监听 0.0.0.0（所有网络接口）
• 没有密码认证
• 高危命令（如 FLUSHALL）未禁用

第二节：基础安全三板斧

先来看最基础的加固配置，在 redis.conf 中这几个选项必须修改：

# 绑定指定IP（内网IP或127.0.0.1）
bind 192.168.1.100  

# 启用密码认证
requirepass YourSuperStrongPassword123!

# 修改默认端口
port 6380

注意：密码不要用常见词汇，建议使用密码管理器生成。有次我用 redis@123 这样的密码，不到半小时就被暴力破解了。

第三节：进阶防护措施

如果业务必须公网访问，我强烈建议加上这些配置：

# 禁用高危命令
rename-command FLUSHDB ""
rename-command FLUSHALL ""
rename-command CONFIG ""

# 启用保护模式
protected-mode yes

# 限制内存使用（防止被用作ddos工具）
maxmemory 2gb
maxmemory-policy allkeys-lru

有个真实案例：某公司 Redis 被黑后，黑客用 CONFIG SET dir 把 Redis 变成了挖矿工具，服务器 CPU 直接飙到 100%。

第四节：网络层的最佳实践

除了 Redis 自身配置，网络层面也要做好防护：

• 使用云厂商的安全组限制源 IP（只允许业务服务器访问）
• 通过 VPN 或专线访问（我们生产环境用 WireGuard 组建加密隧道）
• 启用 TLS 加密（Redis 6.0+ 支持）

特别提醒：曾经遇到过安全组配置错误的情况，规则写成 0.0.0.0/0 却以为只开放给了特定IP，结果…你懂的。

第五节：监控与应急方案

最后说说监控，这些都是血泪教训换来的经验：

# 监控异常登录尝试
grep "Failed auth" /var/log/redis/redis.log

# 监控内存突变
redis-cli info memory | grep used_memory_human

建议配置告警规则，当出现以下情况时立即通知：

• 1 小时内超过 5 次认证失败
• 内存使用量突然增长 50% 以上
• 出现 CONFIG、FLUSHALL 等敏感命令

如果已经出现入侵迹象，我的应急 checklist：

1. 立即断开网络
2. 备份当前数据（防止恶意删除）
3. 检查 crontab 和启动项
4. 全盘扫描可疑文件

写在最后

公网部署 Redis 就像在刀尖上跳舞，必须做好全套防护。最近我在帮公司做 Redis 安全审计时，发现仍有 30% 的实例存在配置缺陷。希望这篇文章能帮大家避开我踩过的坑，如果有更好的实践方案，欢迎在评论区交流！