redis-保护好redis服务器，做好必要的安全设置

1.前言
运维不是维护好服务就好，更应该注意安全。

2.限制内网访问，或者只限制本机访问

只监听内网的IP，然后在iptables里面限制访问的主机：
在/etc/redis/redis.conf中配置如下：

bind 192.168.12.100

如果服务只需要本机访问就直接监听127.0.0.1的回环地址就可以了。
3.设置防火墙

如果需要其他机器访问，或者设置了slave模式，那就记得加上相应的防火墙设置，命令如下：

iptables -A INPUT -s 192.168.12.10/32 -p tcp --dport 6379 -j ACCEPT

4.禁止root用户启动redis
使用root权限去运行网络服务是比较有风险的（nginx和apache都是有独立的work用户，而redis没有）。edis crackit 漏洞就是利用root用户的权限来替换或者增加authorized_keys，来获取root登录权限的。

useradd -s /sbin/nolog -M redis
setsid sudo -u redis /usr/bin/redis-server /etc/redis/redis.conf # 使用root切换到redis用户启动服务

5.限制redis文件目录访问权限
设置redis的主目录权限为700,如果redis配置文件独立于redis主目录,权限修过为600,因为redis密码明文存储在配置文件中。
6.避免使用熟知的端口,降低被初级扫描的风险
在/etc/redis/redis.conf中配置如下：
找到port 6379这行，把6379改为9999，记得iptables对应的端口要修改
7.开启redis密码认证,并设置高复杂度密码
redis在redis.conf配置文件中，设置配置项requirepass， 开户密码认证。
redis因查询效率高，auth这种命令每秒能处理10w次以上，简单的redis的密码极容易为攻击者暴破。
8.禁用或者重命名危险命令
edis crackit漏洞就利用config/save两个命令完成攻击 。 因redis无用户权限限制，建议危险的命令，使用rename配置项进行禁用或重命名，这样外部不了解重命名规则攻击者，就不能执行这类命令。涉及到的命令：

FLUSHDB, FLUSHALL, KEYS, PEXPIRE, DEL, CONFIG, SHUTDOWN, BGREWRITEAOF, BGSAVE, SAVE, SPOP, SREM, RENAME, DEBUG, EVAL`

以下示例：redis.config文件禁用FLUSHDB、FLUSHALL两个命令；重命名CONFIG、SHUTDOWN命令，添加一个特殊的后缀。 这样redis启动后，只能运行CONFIG_b9fc8327c4dee7命令，不能执行CONFIG命令。

rename-command CONFIG CONFIG_des327c4dee7dfsf
rename-command SHUTDOWN SHUTDOWN_des327c4dee7dfsf
rename-command FLUSHDB ""
rename-command FLUSHALL ""

上述配置将config，flushdb，flushall设置为了空，即禁用该命令，我们也可以命名为一些攻击者难以猜测，我们自己却容易记住的的名字。保存之后，执行/etc/init.d/redis-server restart 重启生效。