Redis est largement utilisé comme une base de données en mémoire haute performance, mais sa sécurité n'est pas configurée de manière stricte par défaut. En particulier, en cas d'accès via le réseau, des configurations incorrectes peuvent entraîner des problèmes tels que des fuites de données, des piratages, des pannes de service, etc.

Dans cet article, nous allons expliquer comment renforcer la sécurité réseau de Redis et les principales configurations, de manière à ce que même les débutants puissent comprendre facilement. Voyons quelles configurations il est nécessaire de vérifier pour faire fonctionner Redis en toute sécurité.

1. Limiter l'accès externe à Redis

✅ 1-1. Autoriser l'accès uniquement depuis des IP spécifiques (bind configuration)

Par défaut, Redis peut accepter des connexions sur toutes les interfaces réseau. Autrement dit, sans aucune configuration, tout le monde peut potentiellement accéder au serveur Redis.

Pour éviter cela, il est nécessaire d'utiliser la configuration bind afin de restreindre l'accès à des adresses IP spécifiques.

📌 Exemple : Autoriser l'accès uniquement depuis localhost (127.0.0.1)
bind 127.0.0.1 -::1

Avec cette configuration, seuls les clients exécutés sur le même serveur pourront accéder à Redis.

📌 Que faire si l'on doit accéder depuis une IP externe ?

S'il est nécessaire d'accéder depuis une IP externe, il est possible de configurer l'accès uniquement pour certaines IP.

bind 192.168.1.100 10.0.0.1

Avec cela, seuls les 192.168.1.100 et 10.0.0.1 pourront se connecter à Redis.

✅ 1-2. Configuration du mode protégé (protected-mode)

Redis propose une fonction de mode protégé pour renforcer la sécurité. Lorsque le mode protégé est activé, il n'est pas possible d'accéder sans mot de passe depuis l'extérieur.

📌 Activer le mode protégé
protected-mode yes

Avec cette configuration, Redis ne sera accessible que depuis 127.0.0.1 (local).

2. Limitation des ports réseau et des connexions de Redis

✅ 2-1. Configuration du port d'écoute de Redis (port)

Redis s'exécute par défaut sur le port 6379.

port 6379

Si vous souhaitez utiliser uniquement un socket Unix et non un socket TCP, vous pouvez définir le port à 0.

port 0

✅ 2-2. Configurer la communication sur un port spécifique (bind-source-addr)

Pour les connexions sortantes dans Redis (réplication, communication entre clusters, etc.), par défaut, il n'y a pas de liaison à des interfaces réseau spécifiques.

bind-source-addr 10.0.0.1

Avec cette configuration, Redis communiquera uniquement avec d'autres serveurs Redis via l'interface 10.0.0.1.

3. Configurations pour la stabilité des connexions réseau

✅ 3-1. Taille de la file d'attente de connexion TCP (tcp-backlog)

tcp-backlog 511

🔹 Pour les serveurs traitant un trafic élevé, il est conseillé de régler cette valeur à 1 024 ou 4 096.

✅ 3-2. Temps d'inactivité des clients (timeout)

timeout 300

Si un client n'effectue aucune opération pendant 5 minutes, la connexion sera automatiquement fermée.

4. Configurations supplémentaires pour renforcer la sécurité

✅ 4-1. Bloquer les commandes dangereuses (enable-debug-command)

Certaines commandes Redis (DEBUG, MODULE LOAD, etc.) peuvent être potentiellement dangereuses pour la sécurité.

enable-debug-command no
enable-module-command no

Avec cette configuration, il sera impossible d'exécuter des commandes potentiellement dangereuses.

5. Récapitulatif : Liste de contrôle pour la configuration de sécurité réseau de Redis

  • ✔ Configurer l'accès à Redis uniquement depuis des IP spécifiques (bind)
  • ✔ Activer le mode protégé (protected-mode) pour bloquer l'accès externe
  • ✔ Configurer le port TCP (port) pour limiter les accès inutiles
  • ✔ Configurer un minuteur d'inactivité pour les clients (timeout) afin de bloquer les connexions inactives
  • ✔ Configurer keepalive (tcp-keepalive) pour maintenir la connexion réseau
  • ✔ Bloquer les commandes dangereuses (enable-debug-command no) pour renforcer la sécurité

Redis est une base de données pour laquelle la sécurité réseau est cruciale. En appliquant soigneusement les configurations ci-dessus, vous pouvez prévenir les piratages et les fuites de données ! Si vous gérez un serveur Redis, vérifiez dès maintenant vos configurations de sécurité. 🔐🚀

Paramètres de sécurité réseau Redis