Сальваторе Санфилиппо, разработчик Redis, рассказывает, почему настройки Redis по умолчанию опасны.

Из коробки к Redis можно подключиться только локально — за это отвечает строка конфига bind 127.0.0.1. Если просто убрать эту строчку, то он начнет принимать все сетевые соединения, не требуя аутентификации. И многие так делают.

Доступ к Redis позволяет выполнять на сервере произвольный код. Прямо из redis-cli можно перенастроить место хранения данных на файл ~/.ssh/authorized_keys и записать в него собственный публичный ключ. Формат файла будет бинарным, но ssh всё равно сможет прочитать оттуда ключ и даст войти на сервер под пользователем, запустившим Redis.

Вариантов защиты несколько: разрешить только локальные подключения, включить AUTH (пароль, задаваемый в конфиге), настроить фаервол, поднять ssh-тунель.