redis 只监听 127.0.0.1 应该就没必要设置密码了吧

如果机器只有自己在用一般不需要

这么干的人估计不少，但应该都不敢提出这种建议

这样的话，无疑把 redis 的安全交给了系统中的其他最短的那个短板。只要那个短板被攻破了，redis 就被攻破了。

没有公网 ip 可以这么搞

不开放到公网就没事

难道你还想将它设置监听为 0.0.0.0 ？

直接连 socket 性能还高

能保证内网安全就无需鉴权，毕竟你的服务配置也有明文密码。

确实，我就本机没设置密码，但我不敢建议别人不用密码

只监听 127.0.0.1 代表只有本机能够访问。但是希望实际的操作也是如此。比如说去年 docker 曾出现一个安全隐患 https://blog.csdn.net/alex_yangchuansheng/article/details/125465862 ，https://news.ycombinator.com/item?id=31839936

直接访问 local 的端口是一点权限验证都没有的，你本机的任意用户都能访问，所以把 dockerd 监听在 TCP 上是极度不推荐的
可以考虑监听到 sock 路径上，可以配置一下 user group 什么的

没什么好怕的，老子就这样。

看了楼上的回答，希望你们都不要进国家新成立的数据安全局，害怕

我不会建议你这样做。但是我是这样做的

楼上怕什么，我们的数据早就已经被泄露无数遍了

出现 ssrf 的话风险挺大的

设置个密码也没多大的事吧，万一真出问题谁担责呢。

即使只监听 127.0.0.1, 我仍然建议给 redis 设置强密码。
如果机器上面有其他服务存在漏洞，比如网站有 ssrf 漏洞,那么攻击者可能通过 ssrf 攻击 redis ，进而获取系统权限。
网上有很多关于这个攻击路径的分析，比如 https://www.freebuf.com/articles/web/263556.html

这得本机的所有进程都是安全的才行

用 unix domain socket 更好一些吧