你所熟知Redis，很多团队使用姿势有点Low

你所熟知Redis，很多团队使用姿势有点Low

大家好！我是老码农。

《码农说》公众号的第2篇文章我们分享：redis。

redis众所周知，是一个分布式缓存，今天不分享

• Redis为什么这么快？
• Redis有哪些数据类型？
• 缓存穿透、缓存击穿、缓存雪崩？
• Redis部署
• 。。。

这些热点话题。

这些热点话题与下面这个问题相比，都不重要。

看代码

我们先看YML代码，这是一段在application.yml中有关redis配置的代码，我只截取了部分配置信息。

spring:
  servlet:
    multipart:
      max-file-size: 10MB
      max-request-size: 10MB
  #redis 配置
  redis:
    database: 0
    host: 157.182.192.1
    port: 6379

有哪些问题？

有的同学会说：没加连接池，性能不好吧？

恭喜你，你答错了，这个不重要。

继续想，做过运维的并曾经深受其害的同学，估计一眼就看喵出来了。

靠，竟然没加密码，谁部署的，拉出去，毙了。

当我们都在大谈、特谈高性能、高并发的时候

我们首先要做的安全，安全，安全，最基本的安全都确保不了，谈什么高并发、高性能，喧宾夺主，净扯犊子吧。

这也是《码农说》公众号第2篇文章的重点：

请不要裸奔，安全才是你要确保的第一个重点中重点。

在现在这个万网互联的时代，竞争在加剧，我们的信息随时随地都会被泄漏。

作为一个企业，作为一个企业的员工，第一要责：先要确保企业的数据不被泄漏。

如果你的企业核心数据被泄漏了，你的竞争对手完全可以针对性的一击毙命。

我痛恨没有密码的redis

我经历过的团队不算多，但就在这为数不多的几个团队中，经历了3次生产事故，

而这三次生产事故都是因为redis没有密码造成的，而且是三个不同的团队。

其中一个团队我们当时做的是有支付的一个产品，大家想想，和钱打交道的项目，竟然Redis没有密码。

三次生产事故出奇的相似。

• 都是线上一直在跑的项目；
• 都是一直在维护中，还有需求迭代的项目；
• 都是生产挂了，才知道redis竟然没有密码。

这个不是偶发问题

这是我在网上看到一位同学遇到的情况

最近在开发开源项目Report Monitor时，后端使用到了Redis，为了方便本地调试直接连生产环境，将腾讯云服务器上的Redis端口6379对外开放了（同时没有设置口令和关闭了防火墙）

在开放端口仅仅10分钟后，就收到了腾讯云的告警邮件

于是查看机器监控，发现CPU和内存都出现了占用率暴涨的情况，而且外网出包/入包量也是非常不正常，的确被人攻击了：

大家不要以为自己的项目没有问题，没有自查请不要妄下定论。

请自查

• 第一：redis有没有设置密码？
• 第二：redis的密码复杂度够吗？如果您老兄设置的是：123456，跟裸奔有什么区别。
  • 这点请团队一定要自查，开发人员都嫌麻烦，设置成：123456，一定要自查，一定要自查。
• 第三：控制访问的IP了吗？也就是设置白名单了吗？
• 第四：redis默认端口修改了吗？
• 第五：离职人员的访问权限如何收回？
• 第六：有没有针对redis的监控机制？
  • 都被攻击了，我们还在呼呼睡大觉，太可怕了。

安全、安全、安全

数据是一个团队最核心的资产，核心资产被盗，被摧毁，给团队带来的损失是无可估量的。

一定要从多角度重视安全，其实不光Redis，下面这些常用的，您的密码强度够吗？

• MySQL
• Nacos
• RabbitMQ
• swagger
• Admin的密码
• 。。。

不要嫌麻烦，再说一遍，不要闲麻烦，嫌麻烦就会给你带来更严重的麻烦。

我是老码农

大家好！我是老码农。今天就分享到这里。

关注《码农说》，期待未来能与更多的同学有深入的交流，一同学习技术，共同成长。