等保2.0三级要求下Redis 安全测评应该怎么做？

前言

在网络安全等级保护2.0体系中，GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的第三级“安全计算环境”是测评的核心单元。Redis作为企业级核心缓存、消息队列与数据存储组件，其安全配置的合规性直接决定了信息系统能否通过等保三级测评。
本文结合Redis官方安全指南、国内主流测评机构的现场实践经验，基于Redis 6.2.7/7.0.12验证环境，覆盖单机、哨兵、集群三种部署模式，提供可直接落地执行的测评命令、达标判据、高风险核查清单与一键巡检脚本。旨在为测评人员、运维工程师提供一套标准化的核查与加固工具。
一、适用范围与合规依据

1.1 适用场景

• Redis版本：Redis 6.2.x / 7.0.x / 7.2.x（长期支持版）
  
• 部署模式：Standalone（单机）、Sentinel（哨兵高可用）、Cluster（集群）
  
• 测评对象：第三级信息系统的“安全计算环境 - 应用支撑组件 - Redis”
  

1.2 核心合规条款（GB/T 22239-2019）

条款编号控制项核心要求8.1.4.1身份鉴别强制认证、访问隔离、超时断开8.1.4.2访问控制最小权限、高危命令禁用8.1.4.3安全审计日志全记录、可追溯8.1.4.4入侵防范版本加固、漏洞防护8.1.4.5恶意代码防范文件完整性、模块安全8.1.4.6可信验证安装包、配置文件完整性8.1.4.9数据备份与恢复持久化、异地备份二、等保三级核心测评模块（核查-判据-整改）

本章节将“测评命令”、“达标判据”与“扩展核查”整合，形成可闭环的测评链路。
2.1 身份鉴别（8.1.4.1）：强制认证、访问隔离

身份鉴别是Redis等保合规的第一高风险项。核心要求：禁止匿名访问、限制网络访问、会话自动断开。
控制项测评命令达标判据整改建议密码认证启用redis-cli CONFIG GET requirepass返回非空强密码字符串设置强复杂度密码密码复杂度redis-cli CONFIG GET requirepass长度≥8位，含大小写+数字+特殊字符确保密码符合复杂度要求默认端口修改redis-cli CONFIG GET port非6379（建议6380及以上）修改默认端口绑定地址限制redis-cli CONFIG GET bind绑定内网具体IP，禁止0.0.0.0改为内网具体IP保护模式redis-cli CONFIG GET protected-modeyes（默认启用）确保启用连接超时断开redis-cli CONFIG GET timeout300-600秒（5-10分钟）设置合理超时时间最大连接数限制redis-cli CONFIG GET maxclients业务适配值，建议≤10000根据业务设定限制扩展核查命令集

1. # 查看配置文件路径及核心配置
2. redis-cli CONFIG GET dir && redis-cli CONFIG GET logfile
3. cat /etc/redis/redis.conf |grep -E '^(requirepass|bind|port|protected-mode|masterauth)'
5. # 查看客户端连接IP来源分布（用于排查是否存在未授权访问）
6. redis-cli CLIENT LIST | awk -F'addr=' '{print $2}' | awk -F':' '{print $1}' | sort | uniq -c | sort -rn | head -10
8. # 防火墙访问限制核查
9. iptables -L -n | grep 6379 || firewall-cmd --list-all | grep redis

复制代码

2.2 访问控制（8.1.4.2）：最小权限、高危命令禁用

Redis 6.0+原生支持ACL细粒度权限控制，是满足等保三级“最小权限”要求的推荐方式。
控制项测评命令达标判据整改建议默认账户管控redis-cli ACL LIST删除/重命名default用户，或严格限制其权限创建独立用户，禁用default最小权限授权redis-cli ACL GETUSER 仅授权必要命令+Key前缀（如+@read ~app:*）遵循最小权限原则分配权限高危命令禁用cat /etc/redis/redis.conf | grep rename-commandFLUSHALL/FLUSHDB/CONFIG/DEBUG已禁用/重命名在配置文件中重命名或禁用高危命令SSL/TLS加密redis-cli CONFIG GET tls-port生产环境启用tls-port，禁止明文传输配置TLS证书，启用加密传输扩展核查命令集

1. # Redis 6.0+ ACL全量核查
2. redis-cli ACL USERS && redis-cli ACL GETUSER default && redis-cli ACL LOG 10
4. # 高危命令标准化禁用配置核查
5. grep -E 'rename-command (FLUSHALL|FLUSHDB|CONFIG|DEBUG|SHUTDOWN)' /etc/redis/redis.conf
7. # 内存限制与淘汰策略核查（防止内存溢出导致拒绝服务）
8. redis-cli CONFIG GET maxmemory && redis-cli CONFIG GET maxmemory-policy
10. # 禁用透明大页（THP），防止性能问题和延迟抖动
11. cat /sys/kernel/mm/transparent_hugepage/enabled  # 输出[never]为合规

复制代码

2.3 安全审计（8.1.4.3）：日志全记录、可追溯

核心要求：启用系统日志、慢查询日志、ACL审计日志，并确保日志文件权限合规。
控制项测评命令达标判据整改建议日志级别redis-cli CONFIG GET loglevelnotice/verbose设置为notice或以上级别日志文件redis-cli CONFIG GET logfile非空、非stdout，路径固定配置具体日志文件路径慢查询阈值redis-cli CONFIG GET slowlog-log-slower-than≤10000微秒（10ms）根据业务敏感度设置阈值ACL审计日志redis-cli ACL LOG启用并记录越权访问确保ACL日志功能开启扩展核查命令集

1. # 日志文件权限核查（640 redis:redis为合规）
2. stat -c '%a %U:%G' /var/log/redis/redis-server.log
4. # 慢查询记录核查
5. redis-cli SLOWLOG GET 20
7. # 日志异常信息筛查
8. tail -n 100 /var/log/redis/redis-server.log | grep -i -E 'error|warning|failed|attack'

复制代码

2.4 入侵防范（8.1.4.4）：版本加固、漏洞防护

控制项测评命令达标判据整改建议版本合规redis-cli INFO server | grep redis_version6.0+非EOL版本，无高危漏洞升级至官方支持的稳定版本运行用户ps aux | grep redis-server | grep -v grep专用redis用户，禁止root运行创建redis专用用户配置文件权限stat /etc/redis/redis.conf权限640，属主redis:redis修改文件权限和属主扩展核查命令集

1. # Redis版本漏洞筛查
2. REDIS_VER=$(redis-cli INFO server | grep redis_version | cut -d: -f2 | tr -d '\r') && echo "当前版本：$REDIS_VER"
4. # 客户端输出缓冲区限制核查（防止资源耗尽攻击）
5. redis-cli CONFIG GET client-output-buffer-limit
7. # Lazy Free特性启用（防止阻塞）
8. redis-cli CONFIG GET lazyfree-lazy-eviction

复制代码

2.5 数据备份与恢复（8.1.4.9）：持久化+异地备份

控制项测评命令达标判据整改建议AOF持久化redis-cli CONFIG GET appendonlyyes启用AOF持久化RDB自动备份redis-cli CONFIG GET save配置自动保存策略配置合理的RDB策略备份完整性redis-check-rdb /var/lib/redis/dump.rdb校验返回0（正常）定期校验备份文件异地备份ls -la /backup/redis/存在异地备份文件配置异地备份机制扩展核查命令集

1. # 持久化状态核查
2. redis-cli INFO persistence | grep -E 'rdb_last_save_time|aof_last_write_status'
4. # 备份策略核查
5. crontab -l | grep -i redis
7. # AOF文件完整性校验
8. redis-check-aof /var/lib/redis/appendonly.aof

复制代码

三、等保三级「高风险一票否决」清单

以下项目为等保三级测评的“一票否决”项，必须立即整改。
高风险检查项验证命令不合规判定无密码认证redis-cli CONFIG GET requirepass返回空字符串绑定0.0.0.0redis-cli CONFIG GET bind包含0.0.0.0高危命令未禁用grep rename-command /etc/redis/redis.conf无FLUSHALL/CONFIG等禁用配置root运行Redisps aux | grep redis-server进程属主为root公网暴露redis-cli -h  PING连通成功无连接超时redis-cli CONFIG GET timeout返回0无持久化redis-cli CONFIG GET save返回空四、Redis版本差异与合规建议

不同版本的Redis在满足等保三级要求时的能力和路径不同。
功能项Redis 5.xRedis 6.xRedis 7.xACL权限无，仅密码认证完整ACL增强ACL（selectors）SSL/TLS无原生支持性能优化审计日志弱ACL日志增强日志等保合规需人工大量加固基础合规完整合规多线程IO无无默认启用核心建议：三级等保项目应优先使用 Redis 6.2+ / 7.0+ 版本，废弃5.x及以下版本，以利用原生安全特性降低加固成本和风险。
五、Redis等保三级「一键巡检脚本」

可直接在服务器执行，自动输出全维度合规报告（支持root/redis用户）。
[code]#!/bin/bash# Redis 等保2.0三级 一键巡检脚本# 适用：Redis 6.x/7.x standalone/sentinel/clusterecho "============================================="echo "        Redis 等保三级 自动化巡检报告        "echo "============================================="echo -e "\n===== 1. 身份鉴别（8.1.4.1）====="redis-cli CONFIG GET requirepassredis-cli CONFIG GET bindredis-cli CONFIG GET portredis-cli CONFIG GET protected-moderedis-cli CONFIG GET timeoutecho -e "\n===== 2. 访问控制（8.1.4.2）====="redis-cli ACL USERS 2>/dev/null || echo "Redis版本