Hogyan biztosíthat egy Redis telepítést?

Question

Accepted Answer

A Redis biztonságossá tétele kritikus, mivel alapértelmezés szerint egy kitett Redis-példány komoly sebezhetőséget jelenthet — a nyitott Redis-kiszolgálók sok valós megsértést okoztak. A biztonság **hitelesítést**, **hálózati korlátozásokat**, **TLS-t**, **parancsok korlátozását** és gondos konfigurációt igényel.

## Hálózati biztonság (a legfontosabb)

```text
⚠️ NEVER expose Redis directly to the internet. By default Redis trusts anyone who
   can connect → an exposed instance lets attackers read/delete data, or worse.
✓ BIND to localhost/private interfaces only (bind 127.0.0.1 / private IPs)
✓ Firewall / security groups → only allow trusted app servers to reach port 6379
✓ Run Redis in a private network/VPC, never publicly accessible
→ Most Redis breaches stem from instances left open to the internet. This is #1.
```

## Hitelesítés

```text
✓ Require a PASSWORD (requirepass) — strong, so connections must authenticate
✓ Redis 6+ ACLs → fine-grained users with specific permissions/commands
  (e.g. a user that can only GET/SET certain key patterns — least privilege)
✓ Protected mode (on by default) → refuses external connections without auth/binding
```

## TLS titkosítás

```text
✓ Enable TLS (Redis 6+) → encrypt connections (data in transit), prevent eavesdropping
  (important when Redis traffic crosses networks; without it, data/commands are plaintext)
```

## Parancsok korlátozása és megerősítés

```text
✓ DISABLE/RENAME dangerous commands → FLUSHALL, FLUSHDB, CONFIG, KEYS, DEBUG, EVAL
  (rename-command in config) so attackers/accidents can't wipe data or change config
✓ Run as a non-root user; keep Redis updated (patch vulnerabilities)
✓ Disable unused features; set sensible limits; monitor/audit access
```

## Miért fontos

A Redis biztosítása kritikusan fontos, mert **a Redis alapértelmezés szerint nem biztonságos, és számos valós világbeli megsértés forrása volt**, ezért a Redis biztosításának módja elengedhetetlen, nagy tétű tudás minden éles Redis telepítéshez.

Az alapvető kockázat az, hogy egy alapértelmezett Redis-példány **megbízik mindenkiben, aki csatlakozni tud** — ezért az internetre kitett példány lehetővé teszi az támadók számára, hogy elolvassák az összes adatot, mindent töröljék, vagy akár távoli kódot is hajtsanak végre bizonyos konfigurációkban.

Ez nem elméleti: **a megsértések és zsarolás támadások nagy száma nyitott Redis-példányokból eredt, amelyek nyitottak az internetre**, így a **hálózati biztonság az egyetlen legfontosabb intézkedés**: soha ne tegyük ki a Redis-t nyilvánosan, kötözzük össze a localhost/privát interfészekkel, tűzfalakkal/biztonsági csoportokkal korlátozva a hozzáférést csak megbízható kiszolgálókra, és futtassuk a Redis-t egy privát hálózaton.

**Hitelesítés** megértése (erős jelszó megkövetelése `requirepass` segítségével, Redis 6+ ACL-ek használata részletesen mérhető legkisebb jogosultság felhasználókhoz, és védett mód) elengedhetetlen réteget ad hozzá. **TLS titkosítás** védi az adatokat az átvitel során (megakadályozza a lehallgatást, amikor a forgalom hálózatokon keresztül halad, mivel a Redis forgalom egyébként egyszerű szöveg). **Parancsok korlátozása** (veszélyes parancsok, mint a `FLUSHALL`, `CONFIG`, `KEYS` letiltása/átnevezése, hogy az támadók vagy baleset ne tudja az adatokat törölni vagy a konfigurációt megváltoztatni) és általános megerősítés (nem root felhasználó, javítások, megfigyelés) kerekítik ki a biztonságos telepítést.

Mivel a Redis gyakran érzékeny adatokat tartalmaz (munkameneteket, gyorsítótárba helyezett felhasználói adatokat) és egy nem biztonságos példány súlyos, gyakran kihasznált sebezhetőség, és mivel a megfelelő biztonság (különösen a hálózati izoláció, valamint hitelesítés, TLS és parancsok korlátozása) az, ami megakadályozza a katasztrofális, jól dokumentált megsértéseket a kitett Redis-ből, a Redis biztosításának megértése elengedhetetlen, nagy tétű vezető szintű tudás — kritikus operatív felelősség, ahol a hálózat-izoláció szempontja különösen az egyik leggyakoribb és legsúlyosabb valós világbeli biztonsági kudarc.