Memcached服務加固方案

1. 配置訪問控制。
   建議用戶不要將服務發佈到互聯網上而被黑客利用，能夠經過ECS安全組規則或IPtables配置訪問控制規則。
   例如，在Linux環境中運行命令，在IPtables中添加此規則只容許192.168.0.2這個IP對11211端口進行訪問。

   iptables -A INPUT -p tcp -s 192.168.0.2 —dport 11211 -j ACCEPT

2. 綁定監聽IP。
   若是Memcached沒有在公網開放的必要，可在Memcached啓動時指定綁定的IP地址爲 127.0.0.1。例如，在Linux環境中運行如下命令：

   memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

3. 最小化權限運行。
   使用普通權限帳號運行，指定Memcached用戶。例如，在Linux環境中運行如下命令來運行Memcached：

   memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

4. 修改默認端口。
   修改默認11211監聽端口爲11222端口。在Linux環境中運行如下命令：

   memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11222 -c 1024 -P /tmp/memcached.pid

   Memcached命令參數說明

   • -d 是指啓動一個守護進程。
   • -m 是指分配給Memcached使用的內存數量，單位是MB，以上爲1024MB。
   • -u 是指運行Memcached的用戶，推薦使用單獨普通權限用戶memcached，而不要使用root權限帳戶。
   • -l 是指監聽的服務器IP地址，例如指定服務器的IP地址爲127.0.0.1。
   • -p 是用來設置Memcached的監聽端口，默認端口爲11211。建議設置1024以上的端口。
   • -c 是指最大運行的併發鏈接數，默認是1024。可按照您服務器的負載量來設定。
   • -P 是指設置保存Memcached的pid文件，例如保存在 /tmp/memcached.pid 位置。

5. 備份

6. 來自於阿里雲：https://help.aliyun.com/knowledge_detail/37553.html