一、问题背景与影响分析

Redis作为内存数据库在Linux服务器中广泛部署，其认证机制通过requirepass参数实现。当管理员遗忘密码时，将面临无法执行AUTH命令的困境，导致：

1. 业务系统无法连接Redis获取数据
2. 运维操作（如监控、备份）受阻
3. 潜在的安全风险暴露
   典型场景包括：密码复杂度过高导致遗忘、人员交接未留存凭证、配置文件误修改等。根据Redis官方安全建议，强制密码认证可有效防止未授权访问，但密码管理不当反而会引发服务中断。

二、临时解决方案：禁用认证（紧急情况适用）

1. 停止Redis服务

sudo systemctl stop redis
# 或使用旧版init系统
sudo service redis-server stop

此操作会中断所有客户端连接，需在业务低峰期执行。建议先通过redis-cli INFO确认服务状态。

2. 修改配置文件

编辑/etc/redis/redis.conf（路径可能因发行版不同）：

sudo vi /etc/redis/redis.conf

找到并注释或删除以下行：

# requirepass foobared

或显式设置为空密码：

requirepass ""

3. 重启服务并验证

sudo systemctl start redis
redis-cli
# 无需AUTH即可执行命令
127.0.0.1:6379> INFO

风险提示：此方法会完全禁用认证，仅建议在测试环境或受控网络中使用。生产环境应尽快恢复密码保护。

三、永久解决方案：密码重置流程

1. 通过配置文件重置（推荐）

步骤1：备份原配置

sudo cp /etc/redis/redis.conf /etc/redis/redis.conf.bak

步骤2：生成强密码

使用openssl生成32位随机密码：

openssl rand -base64 24
# 示例输出：Xk7JvLm9Qp2RwTzYnVbSxKjHqEfDgUc

步骤3：更新配置文件

requirepass 新生成的密码

步骤4：应用配置

sudo systemctl restart redis
# 验证密码
redis-cli -a 新密码
127.0.0.1:6379> CONFIG GET requirepass

2. 动态密码修改（需已知旧密码）

若记得旧密码，可通过Redis命令行修改：

redis-cli -a 旧密码
127.0.0.1:6379> CONFIG SET requirepass "新密码"
127.0.0.1:6379> CONFIG REWRITE  # 将修改持久化到配置文件

四、安全加固建议

1. 密码管理策略

• 使用密码管理器（如KeePass、1Password）存储凭证
• 实施密码轮换制度（每90天更换）
• 避免使用默认密码或简单组合

2. 访问控制增强

• 配置防火墙限制Redis端口（6379）访问

  sudo ufw allow from 信任IP to any port 6379

• 启用TLS加密（Redis 6.0+）

  tls-port 6379
  tls-cert-file /path/to/cert.pem
  tls-key-file /path/to/key.pem

3. 审计与监控

• 启用Redis慢查询日志

  slowlog-log-slower-than 10000
  slowlog-max-len 128

• 部署监控系统（如Prometheus+Grafana）跟踪认证失败事件

五、预防措施与最佳实践

1. 配置文件版本控制

使用Git管理redis.conf：

cd /etc/redis
sudo git init
sudo git add redis.conf
sudo git commit -m "Initial Redis config"

2. 自动化部署流程

在Ansible/Puppet剧本中集成密码管理：

# Ansible示例
- name: Set Redis password
  lineinfile:
    path: /etc/redis/redis.conf
    regexp: '^requirepass'
    line: 'requirepass "{{ redis_password }}"'
  notify: Restart Redis

3. 灾难恢复预案

定期备份配置文件和数据目录：

sudo tar czf /backup/redis_$(date +%Y%m%d).tar.gz /etc/redis /var/lib/redis

六、特殊场景处理

1. 集群环境密码重置

对于Redis Cluster，需在所有节点同步修改密码：

# 在每个节点执行
redis-cli -c -h 节点IP -a 旧密码
127.0.0.1:6379> CONFIG SET requirepass "新密码"

2. 容器化部署

若使用Docker，需通过环境变量传递密码：

# docker-compose.yml示例
services:
  redis:
    image: redis:6-alpine
    command: redis-server --requirepass "${REDIS_PASSWORD}"
    environment:
      REDIS_PASSWORD: 新密码

七、常见问题排查

1. 修改后仍提示NOAUTH

• 检查配置文件路径是否正确
• 确认服务重启成功：sudo systemctl status redis
• 验证密码是否包含特殊字符需转义

2. 密码重置后连接失败

• 检查客户端是否使用新密码连接
• 确认防火墙未阻止新连接
• 查看Redis日志：sudo journalctl -u redis

八、总结与行动清单

1. 立即备份当前配置文件
2. 根据环境选择临时/永久解决方案
3. 生成并设置强密码
4. 更新访问控制策略
5. 建立密码管理和监控机制

通过系统化的密码重置流程和预防措施，可有效解决Linux服务器上Redis密码遗忘问题，同时提升整体安全性。建议将此流程纳入企业IT运维手册，并定期组织演练。