Redis未授权访问防护指南

Redis集群的未授权访问风险远比单机场景更隐蔽和危险——因为requirepass密码仅作用于客户端端口（如6379），对集群内部通信所依赖的总线端口（如16379）完全无效，导致节点间握手、槽迁移、故障转移等关键操作均以明文裸奔；即便在Redis 6.0+中配置了requirepass或ACL，也无法覆盖集群总线层，攻击者一旦突破网络边界直连16379端口，即可执行恶意命令甚至清空数据；真正有效的防护不是依赖密码本身，而是通过严格绑定内网IP、防火墙精准放行集群节点间总线流量、显式配置cluster-announce-ip/cluster-announce-port，并配合protected-mode兜底，从网络层彻底收缩攻击面——记住，在Redis集群中，一道没设防的16379端口，可能让所有密码形同虚设。

Redis集群中 requirepass 为什么无效

直接在 redis.conf 中设置 requirepass，单节点能生效，但集群模式下会失效——因为 Redis 集群通信（如 CLUSTER MEET、心跳、槽迁移）默认走的是无认证的内部端口（cluster-port，通常是 redis-port + 10000），且集群总线（cluster bus）不校验密码。

这意味着：即使你给每个节点配了 requirepass，客户端仍可能绕过认证直连主节点；更严重的是，集群内部节点互相握手时若未同步密码或配置错位，会导致 CLUSTER NODES 显示 fail 或无法完成槽分配。

• 集群启动后执行 CLUSTER NODES，若看到节点状态为 fail 或 noaddr，大概率是节点间认证失败或端口不通
• requirepass 只作用于客户端连接端口（如 6379），对集群总线端口（如 16379）完全无约束
• 6.0+ 版本前，Redis 原生不支持集群级统一密码，必须靠外部手段补足

Redis 6.0+ 的 cluster-enabled yes + requirepass 组合是否够用

不够。6.0 引入了 cluster-require-full-coverage 和 ACL 支持，但仍未将 requirepass 扩展到集群总线层。即使所有节点都配了相同 requirepass，集群总线通信仍明文进行，攻击者只要能访问集群总线端口（如 16379），就能伪造 CLUSTER FAILOVER、重置配置甚至清空数据。

真正起效的是 cluster-enabled yes 搭配 cluster-announce-ip + 网络隔离，而非密码本身。

• 必须显式设置 cluster-announce-ip 和 cluster-announce-port，否则节点可能广播内网地址，导致外部可连
• 6.0+ 推荐用 ACL 替代 requirepass，但 ACL 同样只管控客户端命令入口，不影响集群总线
• 若用 requirepass，所有节点必须设**完全相同的密码**，否则 CLUSTER NODES 里会显示 noauth 并拒绝握手

生产环境必须做的三件事（比加密码更重要）

防范未授权访问，密码只是最后一道防线；网络层和部署层的控制才决定攻击面大小。

• 禁用公网暴露：确保 Redis 集群所有端口（客户端 6379、集群总线 16379）**仅绑定内网 IP**，如 bind 10.0.1.10，绝不要写 bind 0.0.0.0 或留空
• 防火墙封死集群总线端口：用 iptables 或云安全组限制仅允许集群内节点 IP 访问 16379，例如：

  iptables -A INPUT -p tcp --dport 16379 -s 10.0.1.10 -j ACCEPT<br>iptables -A INPUT -p tcp --dport 16379 -j DROP

• 启用 protected-mode yes（默认开启），它会在未配置 bind 且无 requirepass 时拒绝外部连接——但这不是替代方案，只是兜底

客户端连接集群时如何传密码

多数客户端库（如 Jedis、redis-py、node-redis）不自动将密码透传到集群发现后的各个节点。如果只在初始连接时带密码，后续重定向到其他节点就会因认证失败报 NOAUTH Authentication required。

• redis-py-cluster 要求初始化时传 password 参数：

  from rediscluster import RedisCluster<br>startup_nodes = [{"host": "10.0.1.10", "port": "6379"}]<br>rc = RedisCluster(startup_nodes=startup_nodes, password="mypass")

• JedisCluster 构造时需传 JedisPoolConfig + password 字符串，且底层 pool 必须支持密码（低版本 Jedis 不支持，需 3.0+）
• 原生命令行工具 redis-cli -c -a mypass -h 10.0.1.10 -p 6379 可用，但脚本中硬编码密码风险高，建议配合配置中心或环境变量注入

密码泄露风险常来自客户端日志或配置文件明文存储——别为了“方便调试”把 requirepass 写进 git 或容器环境变量裸露字段里。

好了，本文到此结束，带大家了解了《Redis未授权访问防护指南》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多数据库知识！