redis 只监听 127.0.0.1 应该就没必要设置密码了吧

你指的自己机器还是服务器？服务器的话建议别监听 127.0.0.1 ，后面别的服务要共享还要重启…自己电脑随意

你最好确认其他系统没有什么漏洞先。。。

可能很多人都这么做，但大伙都不敢这样建议。。。

告诉我公网 IP[狗头]

那如果换成监听 domain socket 会安全些吗

单独一台机器上部署并定期更换强密码，然后被系统漏洞攻下来（

@i979491586 可以搜 10 亿公安数据泄露. 负责这些东西的人, 大概率和数据安全局是一批人.

类似于 nps ( https://github.com/ehang-io/nps ) 的程序如果被恶意利用，是可以远程以本地网络身份去进行未授权访问的。
……不过我没什么具体经验，就稍微提一下。

不建议无条件信任内网或本地的访问，之前遇到过的例子是，很多在线简历网站都是基于 HTML 排版的，在下载 PDF 时会在服务器中开一个无头浏览器进行渲染，大部分都可以直接往简历里丢个 <iframe> ，等它渲染时就能以服务器身份访问，得到一些内网信息了，批量扫了一堆这种 SSRF 漏洞

设个密码那么费劲儿么
我自己开发机也不设密码，但生产环境的话，肯定会弄啊

有个东西叫安全基线，设不设置都一样用。但这些看起来多余的操作实际抬高了安全基线，肯定是有好处的。某些 0day 利用骚姿势可比你想象的还要多，别高估了自己的智商。

一句话 对安全保持敬畏 ，能做的就不要嫌麻烦。

redis 只监听 127.0.0.1 ，，如果没密码，如果攻击者通过 web 层拿到 webshell ，，就可以通过本地直连 redis 重写 ssh 密钥控制服务器。

个人开发环境，你随便搞。但生产环境上，redis 一般都不在本机，而监听范围只能在 127.0.0.1 和 0.0.0.0 之间二选一。

如果 redis 是高权限，可以用来提权

只是不能网络直连而已！中木马或得到 Shell 一样可以连进来！自己拿捏！

零信任 谢谢