Redis怎么加密码才能更安全，连接时密码设置那些事儿你知道吗

主要综合自Redis官方文档、多位运维安全工程师的实践经验分享以及网络安全社区的最佳实践讨论）

Redis作为一个高性能的内存数据库,默认安装后是没有设置密码的，这就像是你家大门装了一把世界上最先进的锁，但却从来不锁门，任何人都可以随意进出，给Redis设置密码是保证其安全性的第一道，也是最重要的一道防线，但仅仅设置一个密码还远远不够，如何让这道防线更坚固，连接时又有哪些细节需要注意，这里面有不少学问。

最基础的一步,当然是为Redis设置一个强密码，这个道理很简单，但很多人会忽视，你不能设置像“123456”、“password”或者“redis”这种极其简单的密码，这等于虚设，一个强密码应该足够长，建议在16位以上，并且是大小写字母、数字和特殊符号的混合体，最好使用密码管理器生成一个随机的、无规律的字符串作为密码，因为Redis的性能极高，攻击者可以轻易地进行每秒数十万次的暴力破解尝试，一个弱密码在几分钟甚至几秒钟内就会被攻破。

设置密码的方法是在Redis的配置文件redis.conf中找到requirepass这个配置项，默认这一行是被注释掉的，前面有个号，你只需要删掉注释符号，在后面写上你的强密码即可，requirepass YourSuperStrongPassword123!@#，修改完配置文件后，必须重启Redis服务才能生效，这里有一个非常重要的细节：密码是明文存储在配置文件里的，所以你必须确保这个redis.conf文件的权限设置是严格的，只有Redis的运行用户有读取权限，其他用户无法查看，可以通过命令chmod 600 redis.conf来修改文件权限。

除了在配置文件中设置,你也可以在Redis运行时，通过命令行临时设置密码，使用CONFIG SET requirepass yourpassword命令，但请注意，这种方式设置的密码在Redis重启后会丢失，所以它通常用于临时调整，最终你还是需要将其写入配置文件才能永久生效。

密码设好了,接下来就是连接时如何使用它，客户端连接Redis时，有两种主要的方式来提供密码。

第一种方式是在连接命令中直接使用-a参数，redis-cli -a yourpassword，这种方式虽然简单直接，但有一个巨大的安全隐患：你的密码会以明文形式出现在命令历史中，在Linux系统上，其他用户可能通过history命令看到你的密码，强烈不推荐在生产环境中使用这种方式，尤其是在共享服务器上。

第二种,也是更安全的方式，是先不加-a参数启动redis-cli，连接成功后，再使用AUTH yourpassword命令进行认证，这样密码就不会被记录在Shell的历史记录里，对于应用程序来说，在像Python的redis-py、Java的Jedis这样的客户端库中，通常是在创建连接对象时，通过password参数来传入密码，客户端库在背后会帮你完成AUTH命令的调用，你需要确保在代码或配置文件中妥善保管这个密码，比如使用环境变量或加密的配置中心来存储，而不是硬编码在源代码中。

仅仅依赖密码认证仍然不够安全,因为Redis的通信协议在默认情况下是未加密的，密码和所有数据在网络中都是明文传输，这就好比你在用一张非常复杂的门禁卡开门，但有个小偷在门口装了摄像头，把你刷卡的过程录了下来，他就能复制你的卡，为了解决这个问题，你必须启用SSL/TLS加密传输，从Redis 6.0版本开始，官方支持了TLS加密，你需要为Redis服务器配置TLS证书，客户端也必须使用rediss://协议（注意多了一个s）和相应的客户端证书（如果配置了双向认证）来建立加密连接，这样，包括密码在内的所有通信内容都会被加密，有效防止了中间人窃听，如果你的Redis版本低于6.0，可以考虑使用SSH隧道或者Stunnel等工具来实现通信加密。

还有一些增强安全性的辅助手段,通过配置redis.conf中的bind指令，将Redis服务绑定到特定的内网IP地址上，而不是默认的0.0.0（监听所有接口），这样可以避免Redis服务直接暴露在公网上，使用防火墙规则（如iptables）严格限制只有特定的、可信的应用程序服务器IP地址才能访问Redis的端口（默认6379），这就是所谓的“网络层隔离”，相当于在小区门口设置了保安，只有登记过的车辆才能进入，大大减少了被攻击的面。

定期更换密码也是一个好习惯,虽然这会带来一些管理上的麻烦，但对于安全要求极高的场景，定期轮换密钥是降低风险的有效措施，你可以通过修改requirepass配置并重启服务，或者使用CONFIG REWRITE命令（如果配置文件中已经存在requirepass项）来动态重写配置文件实现不重启更新，然后通知所有客户端更新连接密码。

让Redis密码更安全是一个系统工程：核心是设置一个无法被暴力破解的强密码；关键是在连接时采用避免密码泄露的方式（避免-a参数）；基石是启用TLS加密通信以防网络窃听；而防火墙隔离、绑定内网IP等措施则构成了重要的外围防御，只有将这些措施结合起来，才能为你宝贵的Redis数据构建一个相对坚固的安全堡垒。