如何在Ubuntu 18.04上安装和保护Memcached

介绍

像Memcached这样的内存对象缓存系统可以通过在内存中临时存储信息,保留频繁或最近请求的记录来优化后端数据库性能。 通过这种方式,它们可以减少对数据库的直接请求数。

因为如果配置不当,Memcached等系统可能会导致拒绝服务攻击,因此保护Memcached服务器非常重要。 在本指南中,我们将介绍如何通过将安装绑定到本地或专用网络接口以及为Memcached实例创建授权用户来保护Memcached服务器。

先决条件

本教程假定您使用非root sudo用户和基本防火墙设置服务器。 如果不是这样,请设置以下内容:

有了这些先决条件,您就可以安装和保护Memcached服务器了。

第1步 - 从官方存储库安装Memcached

如果您的服务器上尚未安装Memcached,则可以从官方Ubuntu存储库安装它。 首先,确保更新本地包索引:

sudo apt update

接下来,安装官方包如下:

sudo apt install memcached

我们还可以安装libmemcached-tools ,这是一个提供多种工具来与Memcached服务器配合使用的库:

sudo apt install libmemcached-tools

Memcached现在应该作为服务安装在您的服务器上,以及允许您测试其连接性的工具。 我们现在可以继续保护其配置设置。

第2步 - 保护Memcached配置设置

为确保我们的Memcached实例正在监听本地接口127.0.0.1 ,我们将检查位于/etc/memcached.conf的配置文件中的默认设置。 随Ubuntu和Debian一起提供的当前版本的Memcached将-l参数设置为本地接口,以防止来自网络的拒绝服务攻击。 我们可以检查此设置以确保正确设置。

你可以用nano打开/etc/memcached.conf

sudo nano /etc/memcached.conf

要检查接口设置,请在文件中找到以下行:

/etc/memcached.conf
. . .
-l 127.0.0.1
. . .

如果您看到默认设置-l 127.0.0.1则无需修改此行。 如果您确实将此设置修改为更开放,那么同样禁用UDP也是一个好主意,因为它更有可能被用于拒绝服务攻击。 要禁用UDP(同时保持TCP不受影响),请将以下选项添加到此文件的底部:

/etc/memcached.conf
. . .
-U 0

完成后保存并关闭文件。

重新启动Memcached服务以应用更改:

sudo systemctl restart memcached

通过键入以下内容,验证Memcached当前是否绑定到本地接口并仅监听TCP连接:

sudo netstat -plunt

您应该看到以下输出:

OutputActive Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
. . .
tcp        0      0 127.0.0.1:11211         0.0.0.0:*               LISTEN      2279/memcached
. . .

这确认了memcached仅使用TCP绑定到127.0.0.1地址。

第3步 - 添加授权用户

要将经过身份验证的用户添加到Memcached服务,可以使用简单身份验证和安全层(SASL),这是一个将身份验证过程与应用程序协议分离的框架。 我们将在Memcached配置文件中启用SASL,然后继续添加具有身份验证凭据的用户。

配置SASL支持

我们可以先用memcstat命令测试Memcached实例的连接性。 这将有助于我们在更改配置文件后确定已启用SASL和用户身份验证。

要检查Memcached是否已启动并运行,请键入以下内容:

memcstat --servers="127.0.0.1"

您应该看到如下输出:

OutputServer: 127.0.0.1 (11211)
         pid: 2279
         uptime: 65
         time: 1546620611
         version: 1.5.6
     . . .

现在我们可以继续启用SASL。 首先,我们将-S参数添加到/etc/memcached.conf 。 再次打开文件:

sudo nano /etc/memcached.conf

在文件的底部,添加以下内容:

/etc/memcached.conf
. . .
-S

接下来,查找并取消注释-vv选项,该选项将向/var/log/memcached提供详细输出。 未注释的行应如下所示:

/etc/memcached.conf
. . .
-vv

保存并关闭文件。

重启Memcached服务:

sudo systemctl restart memcached

接下来,我们可以查看日志以确保已启用SASL支持:

sudo journalctl -u memcached

您应该看到以下行,表明SASL支持已初始化:

Output. . .
Jan 04 16:51:12 memcached systemd-memcached-wrapper[2310]: Initialized SASL.
. . .

我们可以再次检查连接,但由于SASL已初始化,因此该命令在没有身份验证的情况下会失败:

memcstat --servers="127.0.0.1"

此命令不应产生输出。 我们可以输入以下内容来检查其状态:

echo $?

$? 将始终返回退出的最后一个命令的退出代码。 通常,除0之外的任何内容都表示进程失 在这种情况下,我们应该看到退出状态为1 ,这告诉我们memcstat命令失败。

添加经过身份验证的用户

现在我们可以下载sasl2-bin ,这是一个包含SASL用户数据库管理程序的软件包。 这将允许我们创建我们的身份验证用户:

sudo apt install sasl2-bin

接下来,我们将创建Memcached将检查其SASL配置设置的目录和文件:

sudo mkdir /etc/sasl2
sudo nano /etc/sasl2/memcached.conf 

将以下内容添加到SASL配置文件中:

/etc/sasl2/memcached.conf
mech_list: plain
log_level: 5
sasldb_path: /etc/sasl2/memcached-sasldb2

除了指定我们的日志记录级别之外,我们还将mech_list设置为plain ,它告诉Memcached它应该使用自己的密码文件并验证明文密码。 我们还将指定下一步将创建的用户数据库文件的路径。 完成后保存并关闭文件。

现在我们将使用我们的用户凭据创建SASL数据库。 我们将使用saslpasswd2命令使用-c选项在我们的数据库中为我们的用户创建一个新条目。 我们的用户将在这里使用sammy ,但您可以使用自己的用户替换此名称。 使用-f选项,我们将指定数据库的路径,这将是我们在/etc/sasl2/memcached.conf设置的路径:

sudo saslpasswd2 -a memcached -c -f /etc/sasl2/memcached-sasldb2 sammy

系统将要求您输入并重新验证您选择的密码。

最后,我们将通过SASL数据库为memcache用户提供所有权:

sudo chown memcache:memcache /etc/sasl2/memcached-sasldb2

重启Memcached服务:

sudo systemctl restart memcached

再次运行memcstat将确认我们的身份验证过程是否有效。 这次我们将使用我们的身份验证凭据运行它:

memcstat --servers="127.0.0.1" --username=sammy --password=your_password

您应该看到如下输出:

OutputServer: 127.0.0.1 (11211)
         pid: 2772
         uptime: 31
         time: 1546621072
         version: 1.5.6 Ubuntu
     . . .

我们的Memcached服务现在已成功运行,具有SASL支持和用户身份验证。

第4步 - 允许通过专用网络进行访问(可选)

我们已经介绍了如何配置Memcached来监听本地接口,这可以通过保护Memcached接口免于暴露给外部各方来防止拒绝服务攻击。 但是,可能存在需要允许其他服务器访问的情况。 在这种情况下,您可以调整配置设置以将Memcached绑定到专用网络接口。

注意:我们将在本节介绍如何使用UFW配置防火墙设置,但也可以使用DigitalOcean Cloud Firewalls来创建这些设置。 有关设置DigitalOcean云防火墙的更多信息,请参阅我们的DigitalOcean云防火墙简介 。 要了解有关如何限制特定计算机的传入流量的更多信息,请查看本教程中有关 使用标记和服务器名称应用防火墙规则 的部分以及我们对 防火墙标记 的讨论。

使用防火墙限制IP访问

在调整配置设置之前,最好设置防火墙规则以限制可以连接到Memcached服务器的计算机。 您需要知道客户端服务器的专用IP地址才能配置防火墙规则。 有关DigitalOcean上的专用网络的更多信息,请参阅DigitalOcean专用网络的概述

如果您使用的是UFW防火墙,则可以通过键入以下内容来限制对Memcached实例的访问:

sudo ufw allow from client_server_private_IP/32 to any port 11211

您可以通过阅读我们的ufw essentials指南了解有关UFW防火墙的更多信息。

通过这些更改,您可以调整Memcached服务以绑定到服务器的专用网络接口。

将Memcached绑定到专用网络接口

现在您的防火墙已就位,您可以调整Memcached配置以绑定到服务器的专用网络接口而不是127.0.0.1

我们可以通过输入以下命令再次打开/etc/memcached.conf文件:

sudo nano /etc/memcached.conf

在里面,找到您之前检查或修改过的-l 127.0.0.1行,并更改地址以匹配服务器的专用网络接口:

/etc/memcached.conf
. . .
-l memcached_server_private_IP
. . .

完成后保存并关闭文件。

接下来,重新启动Memcached服务:

sudo systemctl restart memcached

使用netstat检查新设置以确认更改:

sudo netstat -plunt
OutputActive Internet connections (only servers)
Proto Recv-Q Send-Q Local Address                                Foreign Address         State       PID/Program name
. . .
tcp        0      0 memcached_server_private_IP:11211            0.0.0.0:*               LISTEN      2912/memcached
. . .

测试来自外部客户端的连接,以确保您仍然可以访问该服务。 最好还是检查来自未授权客户端的访问权限,以确保防火墙规则有效。

结论

在本教程中,我们介绍了如何通过将Memcached服务器配置为绑定到本地或专用网络接口以及启用SASL身份验证来保护Memcached服务器。

要了解有关Memcached的更多信息,请查看项目文档 。 有关如何使用Memcached的更多信息,请参阅我们的如何在Ubuntu 14.04上安装和使用Memcached教程。

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏