---

Redis 安全配置：requirepass 指令的深度解析

Redis 作为一款高性能的键值存储系统，被广泛应用于缓存、队列、实时统计等多种场景。然而，其在设计之初更侧重于性能和易用性，安全并非其首要考虑因素。默认配置下的 Redis 是不设密码保护的，如果直接暴露在不受信任的网络环境中，极易成为攻击目标，导致数据泄露、数据损坏，甚至被恶意利用进行 DDoS 攻击（如通过 MONITOR 命令或者 SLAVEOF/REPLICAOF 指令）。

因此，为 Redis 实例配置适当的安全措施至关重要。在众多安全选项中，requirepass 指令是最基础也是最常见的认证机制。本文将深入探讨 requirepass 指令的作用、配置方法、使用方式、优缺点以及在整体 Redis 安全策略中的定位。

1. Redis 安全的重要性：为何不能忽视？

在深入 requirepass 之前，我们必须理解 Redis 安全为何如此重要。Redis 通常存储着应用程序的核心数据，包括用户会话、敏感配置信息、缓存数据、业务数据等。一旦 Redis 实例被未经授权的访问者入侵，可能导致以下严重后果：

1. 数据泄露： 攻击者可以轻松读取存储在 Redis 中的所有数据，包括用户的个人信息、密码哈希、会话令牌等。
2. 数据篡改或破坏： 攻击者可以修改、删除或清空 Redis 中的数据，导致应用程序功能异常甚至瘫痪。例如，清空缓存可能导致后端数据库压力骤增，删除关键业务数据则可能造成不可逆的损失。
3. 恶意利用： 攻击者可以利用 Redis 的某些特性进行进一步攻击。例如，通过 CONFIG SET 命令修改 Redis 配置，启用危险模块；通过 SLAVEOF 或 REPLICAOF 命令将受害者的 Redis 实例变成攻击者控制的副本，用于数据窃取或传播恶意数据；通过 MONITOR 命令监控所有进出 Redis 的指令，获取敏感信息。
4. 资源消耗与拒绝服务 (DoS)： 未经认证的访问可能导致 Redis 资源（CPU、内存、带宽）被滥用，影响正常服务。某些命令（如 KEYS 在大数据集上）本身就具有潜在的危险性，如果被恶意执行，可能导致服务器响应缓慢甚至崩溃。

历史上有多个因 Redis 未设置密码且暴露在公网而导致的大规模数据泄露事件，这足以说明 Redis 安全配置的必要性。

2. requirepass 指令详解：什么是它？

requirepass 是 Redis 提供的一种简单的密码认证机制。当在 Redis 服务器配置文件 (redis.conf) 中设置了 requirepass 指令并指定了一个密码后，所有连接到该 Redis 实例的客户端在执行任何命令（除了 AUTH 命令本身）之前，都必须先发送 AUTH <password> 命令进行认证。如果认证失败，服务器将拒绝执行后续的所有命令，并返回 NOAUTH Authentication required 错误。

其核心作用在于：

• 提供基础访问控制： 阻止未经授权的客户端连接并执行命令。
• 作为第一道防线： 即使 Redis 实例意外暴露在不受信任的网络，也能在一定程度上抵御扫描器和脚本小子的自动化攻击。

requirepass 的实现相对简单：服务器存储一个密码的哈希值（Redis 内部通常使用 SHA256 对配置的密码进行哈希），客户端通过 AUTH 命令发送明文密码，服务器接收后对其进行哈希，然后与存储的哈希值进行比对。比对成功则认证通过，否则认证失败。

需要注意的是，requirepass 设定的是一个全局密码。所有需要访问该 Redis 实例的应用程序或客户端都必须使用同一个密码。这与现代数据库系统中常见的基于用户账户和权限的认证机制有所不同，它更像是一个简单的“大门锁”。

3. 如何配置 requirepass？

配置 requirepass 通常有两种主要方式：通过配置文件或通过运行时命令。推荐使用配置文件方式，因为它具有持久性。

方式一：通过 redis.conf 配置文件 (推荐)

这是最安全和推荐的方式，因为配置更改会在 Redis 重启后依然生效。

1. 找到 redis.conf 文件：
   Redis 配置文件的位置因安装方式和操作系统而异。常见的路径包括：

   • /etc/redis/redis.conf
   • /usr/local/etc/redis.conf
   • 在 Redis 安装目录下的 redis.conf
   • 如果 Redis 作为系统服务运行，可以通过 ps -ef | grep redis-server 命令查找 Redis 进程，通常可以看到其启动时加载的配置文件路径。

2. 编辑 redis.conf 文件：
   使用文本编辑器（如 nano, vim, gedit 等）打开 redis.conf 文件。
   查找包含 requirepass 的行。在默认的 redis.conf 文件中，这行通常是被注释掉的（以 # 开头），并且提供了一个示例：

   “`conf

   requirepass foobared

   “`

   取消注释，并将 foobared 替换为你想要设置的强密码。例如：

   conf
requirepass your_very_strong_and_secret_password_123!@#

   重要提示：
   * 选择一个足够复杂、包含大小写字母、数字和特殊字符且长度足够的密码。避免使用常见词汇、生日、用户名等容易被猜到的密码。密码的强度直接关系到抵御暴力破解的能力。
   * 确保你设置的密码是秘密的，只有需要访问 Redis 的客户端知道。
   * 如果你已经设置了密码，想要修改它，只需要修改这一行的密码即可。

3. 保存并关闭文件。

4. 重启 Redis 服务器：
   配置文件的修改需要重启 Redis 服务器才能生效。重启命令取决于你的 Redis 安装方式：

   • 如果使用 systemd：sudo systemctl restart redis
   • 如果使用 init.d 脚本：sudo /etc/init.d/redis restart
   • 如果直接通过命令行启动：先找到 Redis 进程 PID（ps aux | grep redis-server），然后使用 kill <PID> 优雅地停止，再重新启动 Redis 服务器程序（通常是 redis-server /path/to/redis.conf）。

5. 验证配置是否生效：
   使用 redis-cli 连接到 Redis 服务器：

   bash
redis-cli

   尝试执行一个普通命令，例如 PING：

   127.0.0.1:6379> PING

   如果配置成功，你应该会收到 (error) NOAUTH Authentication required 的错误响应。

   然后尝试使用 AUTH 命令认证：

   127.0.0.1:6379> AUTH your_very_strong_and_secret_password_123!@#
OK
127.0.0.1:6379> PING
PONG
   如果 AUTH 返回 OK，并且 PING 返回 PONG，说明 requirepass 配置并认证成功。

方式二：通过 CONFIG SET 命令 (不推荐用于长期配置)

Redis 允许在运行时通过 CONFIG SET 命令修改部分配置，包括 requirepass。

1. 连接到 Redis 服务器： 如果 Redis 当前没有设置密码，可以直接连接：
   bash
redis-cli
   如果已经设置了密码，需要先认证：
   bash
redis-cli -a current_password
   或连接后使用 AUTH 命令：
   bash
redis-cli
127.0.0.1:6379> AUTH current_password
OK

2. 设置密码： 使用 CONFIG SET 命令设置 requirepass：

   127.0.0.1:6379> CONFIG SET requirepass your_new_strong_password
OK

   你可以使用 CONFIG GET requirepass 来验证密码是否已设置（但出于安全原因，不应该频繁这样做，且注意不要在日志或终端记录中暴露密码）：

   127.0.0.1:6379> CONFIG GET requirepass
1) "requirepass"
2) "your_new_strong_password"

重要警告：

• 非持久性： 通过 CONFIG SET 修改的配置默认不是持久化的。如果 Redis 服务器重启，这个密码设置将会丢失，恢复到 redis.conf 文件中的配置（如果文件中未设置 requirepass 或注释掉了，重启后将变回无密码状态）。为了使其持久化，你需要执行 CONFIG REWRITE 命令将当前运行时配置写回到 redis.conf 文件中。
• 安全风险： 在命令行或通过 CONFIG SET 设置密码时，密码可能会出现在服务器的进程列表中 (ps aux) 或 Redis 的命令监控中 (MONITOR)，存在泄露的风险。因此，强烈不推荐在生产环境中使用 CONFIG SET requirepass 来初始化或修改密码，除非你立即执行 CONFIG REWRITE 并且非常清楚其中的风险。 最佳实践始终是通过编辑 redis.conf 文件并重启 Redis 来进行配置更改。

如何禁用 requirepass？

如果你需要取消 Redis 的密码保护（例如在安全的内部网络环境中，或者决定采用更高级的安全措施），可以通过以下方式：

1. 通过 redis.conf： 找到 requirepass 那一行，将其注释掉（在行首添加 #）或者删除该行。然后重启 Redis 服务器。
2. 通过 CONFIG SET： 将 requirepass 设置为空字符串 ""。
   127.0.0.1:6379> AUTH current_password # 如果有密码先认证
OK
127.0.0.1:6379> CONFIG SET requirepass ""
OK
127.0.0.1:6379> CONFIG REWRITE # 使更改持久化
OK
   这种方式同样需要注意持久化问题和安全风险。通常还是推荐修改配置文件。

4. 客户端如何使用 AUTH 命令进行认证？

一旦服务器配置了 requirepass，客户端连接后必须先发送 AUTH 命令。

使用 redis-cli：

连接时直接指定密码：
bash
redis-cli -a your_very_strong_and_secret_password_123!@#
或者先连接，再使用 AUTH 命令：
bash
redis-cli
127.0.0.1:6379> AUTH your_very_strong_and_secret_password_123!@#
OK
127.0.0.1:6379> # 现在可以执行其他命令了
127.0.0.1:6379> GET mykey
"myvalue"

如果连接后忘记认证就执行其他命令，会收到 (error) NOAUTH Authentication required 错误。

在编程语言中使用 Redis 客户端库：

几乎所有的 Redis 客户端库都提供了设置密码的选项。通常在创建客户端连接或连接池时，可以传递密码参数。以下是一些常见语言的示例概念（具体语法取决于库）：

Python (using redis library):
“`python
import redis

Connect with password

r = redis.StrictRedis(host=’localhost’, port=6379, db=0, password=’your_very_strong_and_secret_password_123!@#’)

Now you can interact with Redis

try:
r.ping()
print(“Connected to Redis successfully!”)
r.set(‘mykey’, ‘myvalue’)
print(r.get(‘mykey’))
except redis.exceptions.AuthenticationError:
print(“Redis authentication failed!”)
except redis.exceptions.ConnectionError as e:
print(f”Could not connect to Redis: {e}”)

“`

Java (using Jedis library):
“`java
import redis.clients.jedis.Jedis;
import redis.clients.jedis.exceptions.JedisAuthenticationException;

public class RedisAuthExample {
public static void main(String[] args) {
Jedis jedis = new Jedis(“localhost”, 6379);
try {
// Authenticate
String authResult = jedis.auth(“your_very_strong_and_secret_password_123!@#”);
if (“OK”.equals(authResult)) {
System.out.println(“Authenticated successfully!”);
// Now execute commands
jedis.set(“mykey”, “myvalue”);
System.out.println(jedis.get(“mykey”));
} else {
System.err.println(“Authentication failed!”);
}
} catch (JedisAuthenticationException e) {
System.err.println(“Jedis Authentication Error: ” + e.getMessage());
} catch (Exception e) {
System.err.println(“An error occurred: ” + e.getMessage());
} finally {
if (jedis != null) {
jedis.close(); // Close the connection
}
}
}
}
“`

Node.js (using ioredis library):
“`javascript
const Redis = require(‘ioredis’);

// Connect with password
const redis = new Redis({
port: 6379, // Redis port
host: ‘localhost’, // Redis host
password: ‘your_very_strong_and_secret_password_123!@#’,
db: 0, // Defaults to 0
});

redis.on(‘connect’, () => {
console.log(‘Connected to Redis successfully!’);
// Now execute commands
redis.set(‘mykey’, ‘myvalue’, (err, result) => {
if (err) {
console.error(‘Error setting key:’, err);
} else {
console.log(‘SET mykey result:’, result);
redis.get(‘mykey’, (err, value) => {
if (err) {
console.error(‘Error getting key:’, err);
} else {
console.log(‘GET mykey value:’, value);
}
redis.quit(); // Close the connection when done
});
}
});
});

redis.on(‘error’, (err) => {
console.error(‘Redis error:’, err);
});

“`

重要： 在应用程序代码中管理密码时，切勿将密码硬编码在源代码中。应该通过环境变量、配置文件（且配置文件本身应受到保护）、密钥管理系统（如 HashiCorp Vault, AWS Secrets Manager, Kubernetes Secrets 等）或配置中心来安全地存储和获取密码。

5. requirepass 的优点与局限性

优点：

1. 简单易用： 配置非常简单，只需修改一个配置文件行并重启。
2. 基础防护： 能够有效阻止没有密码或尝试使用默认弱密码的扫描器和脚本的访问。
3. 广泛支持： 几乎所有 Redis 版本和客户端库都支持 requirepass。

局限性：

requirepass 作为一个基础认证机制，存在一些显著的局限性，使其在安全性要求较高的场景下不足以作为唯一的安全措施：

1. 单点密码： 只有一个全局密码。所有客户端都使用同一个密码连接。这意味着一旦密码泄露，所有客户端对 Redis 都将失去保护。管理多个应用程序使用同一个 Redis 实例时，密码的共享和轮换会变得复杂且风险高。
2. 缺乏粒度权限控制： requirepass 只提供“全有或全无”的访问控制。认证通过的客户端可以执行 所有 Redis 命令（除非使用了 rename-command 禁用了某些命令），无法限制特定用户或应用程序只能执行特定的命令或访问特定的键空间。例如，你无法配置一个用户只能读取数据，而另一个用户可以读写，或者限制某个应用只能访问前缀为 cache: 的键。
3. 密码传输安全问题 (不使用 TLS 时)： 客户端通过 AUTH 命令发送明文密码。如果 Redis 连接没有使用 TLS/SSL 加密（这是 Redis 6 之前的默认情况，或者需要额外的代理/工具如 stunnel），密码会在网络中以明文形式传输。这使得密码容易被中间人攻击者嗅探到。
4. 对暴力破解的抵御能力有限： 虽然可以选择强密码，但如果仅依赖 requirepass，理论上攻击者可以无限制地尝试密码组合。Redis 本身对 AUTH 命令尝试次数没有内置的限制（除非通过外部防火墙或安全组进行连接速率限制）。一个强大的计算资源可以尝试大量密码，尤其是在网络延迟较低的情况下。
5. 密码管理和轮换复杂： 由于所有应用共享同一个密码，一旦需要更改密码（出于安全策略或怀疑密码泄露），需要同步更新所有连接到该 Redis 实例的应用的配置，这可能导致服务中断或更新窗口延长。
6. AUTH 命令的可见性： 在 Redis 服务器端执行 MONITOR 命令时，可以看到所有接收到的命令流，包括客户端发送的 AUTH 命令及其包含的密码（尽管这发生在客户端认证 之前，但仍可能被具有 MONITOR 权限的合法用户或攻击者看到）。

6. requirepass 在整体安全策略中的定位

鉴于 requirepass 的局限性，它不应是 Redis 安全的唯一措施。它更适合作为多层防御策略中的一个基础组成部分。一个健壮的 Redis 安全策略应该包括以下方面：

1. 网络层安全 (最重要的第一步)：

   • 防火墙/安全组： 限制只有特定 IP 地址或特定网络区域的服务器才能连接到 Redis 端口 (默认 6379)。这是防止 Redis 暴露在公网或不可信内部网络的最有效方法。
   • 网络隔离： 将 Redis 实例部署在私有网络或受限子网中，仅允许需要访问的应用服务器通过内网连接。避免将 Redis 直接暴露在公网 IP 上。

2. 认证层 (requirepass 或 ACLs)：

   • requirepass： 作为基础认证，为所有合法客户端设置一个强密码。
   • Redis 6+ ACLs (访问控制列表)： 如果条件允许（使用 Redis 6.0 或更高版本），强烈建议使用 ACLs 替代 requirepass。ACLs 提供了用户账户、用户密码以及细粒度的权限控制（可以限制用户可以执行的命令、访问的键空间等），大大增强了安全性、可管理性和隔离性。

3. 传输层安全 (TLS/SSL)：

   • 加密连接： 在客户端和服务器之间使用 TLS/SSL 加密连接。这可以保护数据在传输过程中的安全，尤其重要的是，它能够保护 AUTH 命令中传输的密码不被嗅探。
   • 实现方式： 可以使用 stunnel 等外部工具为 Redis 连接提供 TLS 加层，或者使用 Redis 6.0 及更高版本提供的原生 TLS 支持。

4. 命令安全：

   • 重命名或禁用危险命令： 使用 rename-command 指令将一些潜在危险的命令（如 KEYS, CONFIG, FLUSHALL, FLUSHDB, SAVE, BGSAVE, MONITOR, SLAVEOF, REPLICAOF, DEBUG 等）重命名为难以猜测的名称，或者直接禁用它们。这可以防止攻击者在获得认证后执行破坏性操作。

5. 最小权限原则：

   • 配置连接 Redis 的用户或应用程序仅拥有执行其所需操作的最小权限。这在 Redis 6+ 的 ACLs 中可以实现。如果使用 requirepass，由于缺乏粒度控制，这一原则的应用会受到限制。

6. 监控和审计：

   • 日志监控： 启用 Redis 日志，并监控认证失败 (AUTHFAIL)、命令执行、配置更改等关键事件。将日志发送到集中的日志分析系统进行监控和告警。
   • 安全审计： 定期审查 Redis 配置、访问日志和连接信息，检查是否存在异常活动。

将 requirepass 视为网络防火墙、TLS 加密、命令限制和 ACLs 等其他安全措施的补充，而不是唯一的防线，是构建安全 Redis 环境的关键。

7. 示例：在 redis.conf 中配置 requirepass

以下是一个 redis.conf 文件片段，展示了如何配置 requirepass：

“`conf

—————————————————————————

SECURITY

—————————————————————————

By default, Redis does not require any password to work. This is very

insecure if you expose the Redis instance to the internet or unstrusted

environments.

Use the requirepass directive to require clients to authenticate.

requirepass foobared # This is the default commented out line

Uncomment the line below and set a strong password

requirepass your_very_strong_and_secret_password_123!@#

Note: The AUTH command is used to authenticate. For instance, with the

redis-cli interface, you can do:

AUTH your_very_strong_and_secret_password_123!@

PING

Optionally, rename dangerous commands or disable them completely.

For example, rename the CONFIG command:

rename-command CONFIG “renamed_config_command_abcdef”

Or disable it:

rename-command CONFIG “”

Rename FLUSHALL and FLUSHDB

rename-command FLUSHALL “”

rename-command FLUSHDB “”

Add other security configurations like ‘bind’ for specific interfaces,

or enable TLS if using Redis 6+ or stunnel for older versions.

bind 127.0.0.1 ::1 # Only allow connections from localhost

bind 192.168.1.10 # Or only allow connections from a specific internal IP

“`

修改后，请务必重启 Redis 服务器使配置生效。

8. 总结与展望

requirepass 是 Redis 提供的一种简单有效的密码认证机制，它是保护 Redis 实例免受未经授权访问的基础步骤。通过在 redis.conf 文件中设置一个强密码，可以阻止许多基本的自动化攻击。

然而，requirepass 具有明显的局限性，包括单点密码、缺乏粒度权限控制、在未使用 TLS 时密码明文传输以及对暴力破解的抵御能力有限。因此，绝不能将 requirepass 视为唯一的安全措施。

一个安全的 Redis 环境应该采用多层防御策略，包括：

1. 在网络层面严格限制可连接到 Redis 的 IP 地址和网络。
2. 如果可能，使用 Redis 6+ 的 ACLs 提供更精细的用户和权限管理。
3. 使用 TLS/SSL 加密客户端与服务器之间的通信，保护数据的同时也保护了认证凭据。
4. 重命名或禁用危险命令，减少认证后可能造成的损害。
5. 实施严格的密码管理和轮换策略。
6. 建立有效的监控和审计机制。

通过综合运用这些安全措施，可以在最大程度上保护 Redis 实例及其存储的关键数据，确保应用程序的稳定运行和用户数据的安全。将 requirepass 作为起点，并在此基础上逐步增加其他安全层，是构建安全可靠的 Redis 服务的重要实践。

---