memcached加固

Memcached服務安全加固

更新時間：2017-06-30 10:07:49

  

漏洞描述

Memcached是一套經常使用的key-value緩存系統，因爲它自己沒有權限控制模塊，因此對公網開放的Memcache服務很容易被攻擊者掃描發現，攻擊者經過命令交互可直接讀取Memcached中的敏感信息。

修復方案

由於Memcached沒有權限控制功能，因此須要對訪問來源進行限制。

---

Memcached服務加固方案

1. 配置訪問控制。
   建議用戶不要將服務發佈到互聯網上而被黑客利用，能夠經過ECS安全組規則或IPtables配置訪問控制規則。
   例如，在Linux環境中運行命令iptables -A INPUT -p tcp -s 192.168.0.2 —dport 11211 -j ACCEPT，在IPtables中添加此規則只容許192.168.0.2這個IP對11211端口進行訪問。

2. 綁定監聽IP。
   若是Memcached沒有在公網開放的必要，可在Memcached啓動時指定綁定的IP地址爲 127.0.0.1。例如，在Linux環境中運行如下命令：
   memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

3. 最小化權限運行。
   使用普通權限帳號運行，指定Memcached用戶。例如，在Linux環境中運行如下命令來運行Memcached：
   memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

4. 修改默認端口。
   修改默認11211監聽端口爲11222端口。在Linux環境中運行如下命令：
   memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11222 -c 1024 -P /tmp/memcached.pid

   Memcached命令參數說明

   • -d 是指啓動一個守護進程。
   • -m 是指分配給Memcached使用的內存數量，單位是MB，以上爲1024MB。
   • -u 是指運行Memcached的用戶，推薦使用單獨普通權限用戶memcached，而不要使用root權限帳戶。
   • -l 是指監聽的服務器IP地址，例如指定服務器的IP地址爲127.0.0.1。
   • -p 是用來設置Memcached的監聽端口，默認端口爲11211。建議設置1024以上的端口。
   • -c 是指最大運行的併發鏈接數，默認是1024。可按照您服務器的負載量來設定。
   • -P 是指設置保存Memcached的pid文件，例如保存在 /tmp/memcached.pid 位置。

5. 備份數據。
   爲避免數丟失，升級前請作好備份，或者創建ECS硬盤快照。