介绍
Memcached等内存对象缓存系统可以通过将信息临时存储在内存中来优化后端数据库的性能,保留频繁或最近请求的记录。 通过这种方式,它们可以减少对数据库的直接请求数量。
由于像Memcached这样的系统如果配置不当可能会导致拒绝服务攻击,因此保护Memcached服务器非常重要。 在本指南中,我们将介绍如何通过将安装绑定到本地或专用网络接口并为Memcached实例创建授权用户来保护Memcached服务器。
先决条件
本教程假设您有一个使用非root sudo用户和基本防火墙的服务器。 如果不是这种情况,请设置以下内容:
- 一个Ubuntu 16.04服务器, 在Ubuntu 16.04教程初始服务器安装后设置 。
有了这些先决条件,您就可以安装并保护您的Memcached服务器。
从官方存储库安装Memcached
如果您的服务器上尚未安装Memcached,则可以从官方Ubuntu存储库安装它。 首先,确保您的本地包索引已更新:
sudo apt-get update
接下来,安装官方软件包如下:
sudo apt-get install memcached
我们还可以安装libmemcached-tools ,这是一个提供多种工具来处理Memcached服务器的库:
sudo apt-get install libmemcached-tools
Memcached现在应作为服务安装在您的服务器上,以及允许您测试其连接性的工具。 我们现在可以继续保护其配置设置。
保护Memcached配置设置
为了确保我们的Memcached实例正在监听本地接口127.0.0.1 ,我们将检查位于/etc/memcached.conf的配置文件中的默认设置。 当前版本的Ubuntu和Debian附带的Memcached将-l参数设置为本地接口,从而防止来自网络的拒绝服务攻击。 我们可以检查此设置以确保设置正确。
你可以用nano打开/etc/memcached.conf :
sudo nano /etc/memcached.conf
要检查接口设置,请在文件中找到以下行:
. . .
-l 127.0.0.1
如果您看到默认设置-l 127.0.0.1则不需要修改此行。 如果您修改此设置以使其更加开放,那么禁用UDP也是一个好主意,因为它更可能在拒绝服务攻击中被利用。 要禁用UDP(同时保持TCP不受影响),请将以下选项添加到此文件的底部:
. . .
-U 0
完成后保存并关闭文件。
重新启动Memcached服务以应用您的更改:
sudo systemctl restart memcached
验证Memcached当前绑定到本地接口并通过键入以下内容仅监听TCP连接:
sudo netstat -plunt
您应该看到以下输出:
OutputActive Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
. . .
tcp 0 0 127.0.0.1:11211 0.0.0.0:* LISTEN 2383/memcached
. . .
这确认了memcached仅使用TCP绑定到127.0.0.1地址。
添加授权用户
要将验证用户添加到Memcached服务中,可以使用简单验证和安全层(SASL),这是一种从应用程序协议中解除身份验证过程的框架。 我们将在我们的Memcached配置文件中启用SASL,然后继续添加具有认证凭证的用户。
配置SASL支持
我们可以先用memcstat命令测试我们的Memcached实例的memcstat 。 这将帮助我们确定在更改我们的配置文件后SASL和用户认证已启用。
要检查Memcached已启动并正在运行,请键入以下内容:
memcstat --servers="127.0.0.1"
你应该看到如下的输出:
OutputServer: 127.0.0.1 (11211)
pid: 3831
uptime: 9
time: 1520028517
version: 1.4.25
. . .
现在我们可以继续启用SASL。 首先,我们将-S参数添加到/etc/memcached.conf 。 再次打开文件:
sudo nano /etc/memcached.conf
在该文件的底部添加以下内容:
. . .
-S
接下来,查找并取消注释-vv选项,该选项将向/var/log/memcached提供详细输出。 未注释的行应如下所示:
. . .
-vv
保存并关闭文件。
重新启动Memcached服务:
sudo systemctl restart memcached
接下来,我们可以查看日志以确保已启用SASL支持:
sudo journalctl -u memcached
您应该看到以下行,表示SASL支持已初始化:
Output. . .
Mar 02 22:03:58 memcached systemd-memcached-wrapper[2760]: Initialized SASL.
. . .
我们可以再次检查连接,但是因为SASL已经初始化,所以这个命令在没有认证的情况下会失败:
memcstat --servers="127.0.0.1"
这个命令不应该产生输出。 我们可以输入以下内容来检查它的状态:
echo $?
$? 将始终返回退出的最后一个命令的退出代码。 通常,除0之外的任何内容都表示过程失败 在这种情况下,我们应该看到1的退出状态,它告诉我们memcstat命令失败。
添加已验证的用户
现在我们可以下载sasl2-bin ,一个包含SASL用户数据库管理程序的软件包。 这将允许我们创建经过身份验证的用户:
sudo apt-get install sasl2-bin
接下来,我们将创建Memcached将检查其SASL配置设置的目录和文件:
sudo mkdir -p /etc/sasl2
sudo nano /etc/sasl2/memcached.conf
将以下内容添加到SASL配置文件中:
mech_list: plain
log_level: 5
sasldb_path: /etc/sasl2/memcached-sasldb2
除了指定我们的日志记录级别之外,我们还将mech_list设置为plain ,这会告诉Memcached它应该使用自己的密码文件并验证明文密码。 我们还将指定我们将在下一步创建的用户数据库文件的路径。 完成后保存并关闭文件。
现在我们将用我们的用户凭证创建一个SASL数据库。 我们将使用saslpasswd2命令在我们的数据库中使用-c选项为我们的用户创建一个新条目。 我们的用户在这里是sammy ,但您可以用您自己的用户替换此名称。 使用-f选项,我们将指定数据库的路径,这将是我们在/etc/sasl2/memcached.conf设置的路径:
sudo saslpasswd2 -a memcached -c -f /etc/sasl2/memcached-sasldb2 sammy
最后,我们将通过SASL数据库为memcache用户提供所有权:
sudo chown memcache:memcache /etc/sasl2/memcached-sasldb2
重新启动Memcached服务:
sudo systemctl restart memcached
再次运行memcstat将确认我们的身份验证过程是否有效。 这次我们将使用我们的身份验证凭据运行它:
memcstat --servers="127.0.0.1" --username=sammy --password=your_password
你应该看到如下的输出:
OutputServer: 127.0.0.1 (11211)
pid: 3831
uptime: 9
time: 1520028517
version: 1.4.25
. . .
我们的Memcached服务现在可以成功运行SASL支持和用户认证。
允许通过专用网络进行访问
我们已经介绍了如何配置Memcached以监听本地接口,这可以通过保护Memcached接口免受外部各方的干扰来防止拒绝服务攻击。 但是,有些情况下您需要允许其他服务器访问。 在这种情况下,您可以调整您的配置设置以将Memcached绑定到专用网络接口。
使用防火墙限制IP访问
在调整配置设置之前,设置防火墙规则以限制可连接到Memcached服务器的计算机是一个不错的主意。 您需要知道客户端服务器的私有IP地址才能配置防火墙规则。
如果您使用的是UFW防火墙,则可以通过输入以下内容来限制对Memcached实例的访问:
sudo ufw allow from client_servers_private_IP/32 to any port 11211
您可以阅读我们的ufw要领指南,了解更多关于UFW防火墙的信息。
通过这些更改,您可以调整Memcached服务以绑定到您的服务器的专用网络接口。
将Memcached绑定到专用网络接口
既然您的防火墙已经就位,您可以调整Memcached配置以绑定到您的服务器的专用网络接口而不是127.0.0.1 。
我们可以通过键入以下命令再次打开/etc/memcached.conf文件:
sudo nano /etc/memcached.conf
在里面,找到之前检查或修改的-l 127.0.0.1行,并更改地址以匹配服务器的专用网络接口:
. . .
-l memcached_servers_private_IP
. . .
完成后保存并关闭文件。
接下来,重新启动Memcached服务:
sudo systemctl restart memcached
使用netstat检查您的新设置以确认更改:
sudo netstat -plunt
OutputActive Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
. . .
tcp 0 0 memcached_servers_private_IP:11211 0.0.0.0:* LISTEN 2383/memcached
. . .
测试来自外部客户端的连接,以确保您仍然可以访问该服务。 同时检查来自非授权客户端的访问以确保您的防火墙规则有效是个不错的主意。
结论
在本教程中,我们介绍了如何通过将Memcached服务器配置为绑定到本地或专用网络接口以及启用SASL身份验证来保护您的Memcached服务器。
要了解更多关于Memcached的信息,请查看项目文档 。 有关如何使用Memcached的更多信息,请参阅我们的关于如何在Ubuntu 14.04上安装和使用Memcache的教程。
