Redis 默认端口（6379）的隐藏与修改策略

好的，各位观众老爷们，欢迎来到今天的“Redis端口大冒险”特别节目！我是你们的老朋友，江湖人称“代码段子手”的程序猿老王。今天咱们要聊聊Redis这个“内存数据库小霸王”的默认端口6379，以及如何让它玩起“躲猫猫”，玩得神不知鬼不觉。

开场白：6379，一个既熟悉又危险的数字

Redis，全称Remote Dictionary Server，就像一位记忆力超群的管家，把各种数据都牢牢记在脑子里（内存里），响应速度那叫一个快！默认情况下，这位管家会在6379这个“大门口”恭候各位客人的光临。

但问题来了，6379就像一个公开的秘密，谁都知道Redis默认用它。这就好比你家大门上挂着“我家是XX家”的牌子，小偷看了乐开了花，直接上门“做客”。

所以，隐藏和修改Redis的默认端口，就像给咱们这位记忆力超群的管家换个秘密通道，让那些不怀好意的人摸不着头脑，从而提高系统的安全性。

第一幕：为什么我们要隐藏/修改默认端口？（安全第一！）

为什么要修改默认端口？原因很简单：安全！安全！还是安全！ 重要的事情说三遍！

想象一下，黑客想攻击你的Redis服务器，第一步肯定是要找到它。而默认端口就像一个明灯，指引着他们前进。修改端口，就像给他们设置了一个小小的障碍，让他们多费一番周折。

• 降低被扫描攻击的概率： 就像把你的房子从主干道搬到了一条僻静的小巷，被路过的“坏人”发现的概率大大降低。
• 增加攻击难度： 黑客需要花更多的时间和精力来确定你Redis服务器的端口，增加了攻击成本。
• 防止自动化攻击： 很多自动化攻击脚本都是针对默认端口进行扫描和攻击的，修改端口可以有效防止这类攻击。

第二幕：如何隐藏/修改Redis的默认端口？（实战演练！）

好了，废话不多说，直接上干货！修改Redis的端口非常简单，只需要修改Redis的配置文件即可。

1. 找到Redis配置文件：

   Redis的配置文件通常位于以下位置：

   • /etc/redis/redis.conf (Linux)
   • /usr/local/etc/redis.conf (macOS)

   可以使用命令查找：

   find / -name redis.conf

2. 编辑Redis配置文件：

   使用你喜欢的编辑器（比如vim、nano）打开Redis配置文件，找到port这一行。

   #port 6379

   将#port 6379前面的#注释符号去掉，并将6379修改为你想要的新端口，比如16379。

   port 16379

   注意： 选择端口时，尽量选择大于1024的端口，避免与系统常用端口冲突。同时，选择一个不容易被猜到的端口，增加安全性。

3. 重启Redis服务：

   修改完配置文件后，需要重启Redis服务才能使配置生效。

   sudo systemctl restart redis  # Linux (systemd)
   sudo service redis restart    # Linux (SysVinit)
   redis-cli shutdown   #macOS需要先关闭redis-server
   redis-server /usr/local/etc/redis.conf & #macOS启动redis-server并后台运行

4. 验证端口是否修改成功：

   可以使用redis-cli命令连接Redis服务器，并指定新的端口。

   redis-cli -p 16379

   如果连接成功，说明端口修改成功！🎉

第三幕：更高级的端口隐藏技巧（进阶教程！）

除了修改默认端口，我们还可以使用一些更高级的技巧来隐藏Redis服务器，让黑客更难找到它。

1. 使用防火墙限制访问：

   使用防火墙（比如iptables、firewalld）限制Redis服务器的访问，只允许特定的IP地址或IP地址段访问Redis服务器。

   • iptables (Linux):

     # 允许特定IP地址访问Redis服务器
     iptables -A INPUT -p tcp --dport 16379 -s 192.168.1.100 -j ACCEPT
     # 拒绝其他所有IP地址访问Redis服务器
     iptables -A INPUT -p tcp --dport 16379 -j DROP
     #保存设置
     iptables-save

   • firewalld (Linux):

     # 允许特定IP地址访问Redis服务器
     firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="16379" protocol="tcp" accept'
     # 重新加载防火墙配置
     firewall-cmd --reload

   注意： 配置防火墙时，一定要小心，避免误操作导致无法连接Redis服务器。

2. 使用VPN或SSH隧道：

   使用VPN或SSH隧道连接Redis服务器，可以隐藏Redis服务器的真实IP地址和端口，增加安全性。

   • SSH隧道：

     ssh -L 6379:127.0.0.1:16379 user@redis_server_ip

     这条命令会在本地建立一个SSH隧道，将本地的6379端口转发到远程Redis服务器的16379端口。然后，你就可以使用redis-cli -p 6379命令连接Redis服务器，就像Redis服务器就在本地一样。

3. 使用网络地址转换 (NAT)：

   如果你的Redis服务器位于NAT后面，可以使用NAT将Redis服务器的端口映射到另一个端口，从而隐藏Redis服务器的真实端口。

4. 端口敲门 (Port Knocking)：

   端口敲门是一种更高级的端口隐藏技术。它需要客户端按照特定的顺序访问一系列端口，服务器才会打开真正的Redis端口。这就像敲门的暗号，只有知道暗号的人才能进入。

   示例：

   1. 客户端依次访问端口：1111, 2222, 3333
   2. 服务器在接收到正确的端口敲门顺序后，才会打开16379端口，允许客户端连接。

   注意： 端口敲门需要安装额外的软件和配置，实现起来比较复杂。

第四幕：修改端口后的注意事项（敲黑板，划重点！）

修改Redis端口后，还需要注意以下几点：

• 更新所有客户端连接： 确保所有连接Redis服务器的客户端都使用新的端口。
• 更新监控系统配置： 如果你使用了监控系统来监控Redis服务器，需要更新监控系统配置，使其使用新的端口。
• 记录端口信息： 将新的端口信息记录下来，避免忘记。可以使用密码管理工具或者安全地存储在文档中。
• 定期检查端口安全： 定期使用端口扫描工具检查Redis服务器的端口是否暴露在公网上。
• 考虑使用更高级的安全措施： 除了修改端口，还可以考虑使用更高级的安全措施，比如密码认证、ACL权限控制、TLS加密等。

第五幕：各种姿势修改redis.conf配置文件

为了让大家更深入地了解如何修改redis.conf文件，这里提供一些不同的修改姿势，让大家可以根据自己的实际情况选择合适的方法。

修改方式	优点	缺点	适用场景
直接修改	最简单直接，易于理解。	容易出错，如果配置文件格式错误，可能导致Redis无法启动。	适用于对Linux命令和Redis配置有一定了解的用户，或者只需要进行简单的配置修改。
使用sed命令	可以通过脚本自动化修改配置文件，减少手动操作的错误。	需要对sed命令有一定的了解。	适用于需要批量修改配置文件的场景，例如自动化部署。
使用redis-cli config set命令	可以在不重启Redis服务器的情况下动态修改配置，减少服务中断时间。	只能修改部分配置项，部分配置项需要重启Redis服务器才能生效。	适用于需要动态修改配置，且修改的配置项支持动态生效的场景。
使用配置文件管理工具	例如Ansible、Chef、Puppet等，可以集中管理和配置Redis服务器，提高运维效率。	需要学习和使用配置文件管理工具。	适用于大规模Redis集群的管理和配置。

示例：使用sed命令修改端口

# 将端口修改为16379
sed -i 's/^port 6379/port 16379/g' /etc/redis/redis.conf

# 如果port前面有注释符号，先去掉注释符号，再修改端口
sed -i 's/^#port 6379/port 6379/g' /etc/redis/redis.conf
sed -i 's/^port 6379/port 16379/g' /etc/redis/redis.conf

第六幕：安全加固，不止于端口

修改端口只是Redis安全的第一步，就像盖房子打地基，地基打好了，才能盖更高的楼。为了让你的Redis服务器更加安全，还需要考虑以下因素：

• 密码认证 (requirepass): 设置密码，防止未经授权的访问。
• ACL权限控制 (Redis 6.0+): 使用ACL限制不同用户的访问权限。
• TLS加密: 使用TLS加密客户端和服务器之间的通信，防止数据被窃听。
• 定期更新Redis版本: 及时更新Redis版本，修复已知的安全漏洞。
• 监控和日志分析: 监控Redis服务器的运行状态，分析日志，及时发现异常情况。
• 限制命令: 禁止一些危险的命令，比如FLUSHALL、CONFIG等。
• 禁用或重命名危险命令： 在redis.conf中可以使用rename-command 指令来重命名或者禁用一些有风险的命令。 比如：
  rename-command FLUSHALL "" #禁用FLUSHALL
  rename-command CONFIG very_secure_config #重命名CONFIG

第七幕：案例分析，血与泪的教训

曾经发生过一些由于Redis默认端口暴露导致的安全事件。

• 未授权访问： 黑客通过默认端口连接到Redis服务器，窃取敏感数据，甚至篡改数据。
• 勒索攻击： 黑客清空Redis数据库，然后向用户索要赎金。
• 挖矿病毒： 黑客利用Redis服务器的计算资源来挖矿。

这些案例告诉我们，安全无小事，防患于未然！

结尾：端口隐藏，安全起航！

好了，各位观众老爷们，今天的“Redis端口大冒险”就到这里了。希望通过今天的讲解，大家能够认识到隐藏和修改Redis默认端口的重要性，并掌握相关的技巧。记住，安全是一个持续的过程，需要我们不断学习和实践。

最后，祝大家的代码永不宕机，Bug永不出现！咱们下期再见！ 👋