Redis到底要不要设密码呢？其实这事儿得看具体情况，别一概而论

（信息来源：多位Redis核心开发者及运维工程师的社区讨论与实践经验总结）

Redis到底要不要设密码？这事儿真不能一刀切，你说不设密码吧，心慌慌的，感觉像把家门钥匙插在锁眼里不管；你说设密码吧，有时候又觉得多此一举，尤其在自己电脑上折腾个小项目的时候，其实这事儿的关键，就看你把Redis用在什么场合、放在什么环境里。

第一种情况：你的Redis完全是自己玩玩的，压根没联网

比如你就是个学生，在自个儿的笔记本电脑上用Redis做点课程实验，或者本地开发个小程序，你的Redis服务只绑定在127.0.0.1这个本地回环地址上，外面的机器根本连不上来，这时候，你设个密码，除了每次redis-cli连接的时候得多输入一行AUTH命令，给自己添点麻烦之外，确实没啥实质性的安全提升，这就好比你在自己锁着门的卧室里记日记，还非得给日记本再加把锁，有点过度紧张了，很多开发者在本地开发环境下，为了图个省事,不设密码是相当普遍的现象。

第二种情况：你的Redis在办公室的内网里，只给几台固定的服务器用

这时候情况就复杂点了，比如你们公司有个小机房，里面有几台Web服务器、一台Redis服务器，它们之间通过一个内部的局域网通信，这个网络理论上与外面的互联网是隔离的，只有公司的这些服务器能互相访问，在这种情况下，安全风险主要来自于“内部”，是不是要设密码,就得掂量一下内网的安全性了。

如果你的内网管理非常严格，交换机有端口安全策略，服务器都是专人管理，外人根本接触不到，那么密码的作用可能更多是起到一个“权限标识”的作用，告诉Redis“我是经过授权的应用”，但话说回来，如果真有黑客突破了你们的外围防御，进入了内网的一台服务器，那么一个静态的、写在配置文件里的Redis密码，其实也很容易被抓取到，在这种场景下，除了考虑密码，更要紧的是做好网络层的隔离，比如设置更严格的防火墙规则，只允许特定的应用服务器IP地址连接Redis的6379端口，有经验的运维人员会认为（来源：某电商平台运维团队分享），“网络隔离比密码更可靠”。

第三种情况：你的Redis放在云服务器上，暴露在公网中

这是最危险、也是最必须设密码的情况！ 很多人为了图方便，买了台云服务器，安装好Redis后，默认配置是绑定在0.0.0.0（意味着所有网卡都能接受连接），而且没有密码，这简直就是在互联网上立了块牌子，写着“欢迎光临，数据自取”，黑客有专门的扫描工具，7x24小时地在全网扫描开放的Redis端口，一旦发现没有密码保护的实例，轻则被植入挖矿木马，占用你的CPU资源；重则直接删除你的数据，索要赎金；甚至更恶劣的，会利用Redis的机制在你的服务器上写入SSH公钥,从而直接获取你服务器的最高控制权。

曾经有大量的安全事件报告（来源：国内云安全厂商年度威胁报告）指出，无密码的Redis实例是数据泄露的重灾区，只要你的Redis需要被云服务器上的应用访问，或者你不得已需要让它能被公网访问（强烈不推荐），设置一个高强度密码是绝对的底线操作，这已经不是方不方便的问题,而是安身立命之本。

光有密码就够了吗？远远不够！

就算你设了密码，也千万别觉得就高枕无忧了，密码只是第一道,而且可能是比较脆弱的一道防线。

1. 密码强度：别用“123456”、“password”或者跟服务器IP地址相关的简单密码,要像你设置银行卡密码一样重视它。
2. 修改默认端口：Redis默认使用6379端口，这是尽人皆知的，黑客扫描首先就冲这个端口来，把它改成一个不常用的高端端口（比如10000以上）,能避免很多低级别的自动化脚本攻击。
3. 防火墙限制：最理想的状态是，用防火墙（比如iptables、云服务商的安全组）严格限制能连接Redis端口的IP地址，只允许你的应用服务器来访问，拒绝全世界其他任何地方的连接请求,这是比密码有效得多的防护手段。
4. 定期更新：保持Redis版本的更新,老版本可能存在一些已知的安全漏洞。

回到最开始的问题：Redis到底要不要设密码？

总结一下就是：本地开发，嫌麻烦可以不设；内部网络，建议设上，但更要紧的是做好网络隔离；只要是涉及公网或者云环境，必须设，而且要和修改端口、配置防火墙等一系列措施结合起来用。

安全本质上是一个过程，而不是一个简单的开关，设不设密码是这个过程中的一个环节，它的重要性完全取决于你的Redis所面临的整体威胁环境，别偷懒，根据你的“具体情况”,做出最合适的选择。