解决Docker Compose部署GitLab时的Redis空密码安全警告

问题背景

在使用Docker Compose部署GitLab时，我遇到了Redis空密码的安全警告。默认配置下，Redis服务没有设置密码，这可能导致安全风险。以下是原始的docker-compose.yml文件：

version: '3'
services:
  gitlab:
    image: gitlab:gitlab-ce-arm64v8
    container_name: gitlab
    environment:
      TZ: 'Asia/Shanghai'
      GITLAB_OMNIBUS_CONFIG: |
        gitlab_rails['time_zone'] = 'Asia/Shanghai'
    volumes:
      - '/data/gitlab/etc:/etc/gitlab'

安全风险分析

Redis默认配置存在以下安全问题：

1. 没有设置密码认证，任何能访问Redis端口的用户都可以直接连接
2. Redis默认绑定在所有网络接口上(0.0.0.0)
3. 使用默认端口6379，容易被扫描发现

解决方案

方法一：通过docker-compose.yml设置Redis密码

在GITLAB_OMNIBUS_CONFIG中添加Redis密码配置：

version: '3'
services:
  gitlab:
    image: gitlab:gitlab-ce-arm64v8
    container_name: gitlab
    environment:
      TZ: 'Asia/Shanghai'
      GITLAB_OMNIBUS_CONFIG: |
        gitlab_rails['time_zone'] = 'Asia/Shanghai'
        gitlab_rails['redis_password'] = '你的强密码'
    volumes:
      - '/data/gitlab/etc:/etc/gitlab'

方法二：修改gitlab.rb配置文件

如果你已经挂载了配置文件目录，可以直接修改/data/gitlab/etc/gitlab.rb文件：

1. 注释掉或删除以下两行：

   # redis['bind'] = '0.0.0.0'
   # redis['port'] = 6379

2. 添加Redis密码配置：

   redis['password'] = '你的强密码'

3. 重新配置GitLab：

   docker exec -it gitlab gitlab-ctl reconfigure

密码设置建议

1. 使用强密码：至少16个字符，包含大小写字母、数字和特殊符号
2. 定期更换密码
3. 不要使用默认密码或简单密码

验证配置

配置完成后，可以通过以下方式验证：

1. 进入GitLab容器：

   docker exec -it gitlab bash

2. 使用Redis CLI连接并验证：

   redis-cli -a '你的密码'

3. 执行简单的Redis命令验证连接：

   ping

总结

通过为Redis设置密码并限制网络绑定，可以有效提升GitLab实例的安全性。建议在生产环境中始终启用Redis认证，并考虑进一步的安全措施如：

• 使用TLS加密Redis连接
• 限制Redis只能通过内部网络访问
• 定期检查安全更新