Memcache服务器端都是直接通过客户端连接后直接操作,没有任何的验证过程,不需要认证就可以随意交互。服务器直接暴露在互联网上是比较危险的,轻则数据泄露被其他无关人员查看,重则服务器被入侵。
Memcache暴露在外网中会被攻击者利用发起DRDoS反射攻击,通过发送大量带有被害者IP地址的UDP数据包给放大器主机,然后放大器主机对伪造的IP地址源做出大量回应,形成分布式拒绝服务攻击。
1、IP访问限制
将Memcache服务放置于可信域内,有外网时不要监听0.0.0.0,有特殊需求可以通过防火墙设置acl或者添加安全组。通过添加Memcache启动参数来监听内网的IP地址和端口,内网间的访问能够有效阻止攻击者的非法访问。
- # memcached -d -m 1024 -u nobody -l 10.16.0.20 -p 11211 -c 1024 -P/tmp/memcached.pid
以上配置中设置Memcache服务器端只允许监听内网的10.16.0.20的IP的11211端口,占用1024MB内存,并且允许最多1024个并发连接。
如果是对外提供服务,并且需要通过外网IP来访问Memcache,防止机器扫描和SSRF等攻击,可以将Memcache的监听端口随机改为其他的端口。
同时使用防火墙或者代理程序来过滤非法访问。一般在Linux下可以使用iptables或者FreeBSD下的ipfw来指定一些规则防止一些非法的访问,比如可以设置只允许特定外网IP访问Memcache服务器,同时阻止其他非法访问。
- # iptables -F
- # iptables -P INPUT DROP
- # iptables -A INPUT -p tcp -s 192.168.0.2 --dport 11211 -j ACCEPT
- # iptables -A INPUT -p udp -s 192.168.0.2 --dport 11211 -j ACCEPT
上面的iptables规则就是只允许110.18.0.2这台服务器对Memcache服务器的访问,能够有效地阻止一些非法访问,相应地也可以增加一些其他的规则来加强安全性,这个可以根据自己的需要来进行。
2、使用SASL验证
简单验证安全层(Simple Authentication Security Layer,SASL)为应用程序和共享库的研发人员提供了用于验证、数据完整性检查和加密的机制。
以CentOS为例来给Memcache添加SASL支持。
首先在系统中安装SASL支持。
- yum install cyrus-sasl cyrus-sasl-lib cyrus-sasl-devel cyrus-sasl-plain
查看安装结果。
- $saslauthd -v
- saslauthd 2.1.23
- authentication mechanisms: getpwent kerberos5 pamrimap shadow ldap
当前可使用的密码验证方法有getwent、kerberos5、pam、rimap、shadow和ldap,配置成使用shadow方式进行认证。
- # 修改/etc/sysconfig/saslauthd文件
- MECH=shadow
重启saslauthd。
- sudo /etc/init.d/saslauthd restart
- Stopping saslauthd: [OK]
- Starting saslauthd: [OK]
设置Memcache用户的SASL认证密码。
- saslpasswd2 -c -a memcached memcacheuser
- Password: #输入密码
- Again (for verification): #再次输入密码
最终生成的密码保存在/etc/sasldb2中。
使用sasldblistusers2命令查看已经添加的用户。
- memcacheuser@3b7fc9690a12:userPassword
在libmemcached官网选择适合自己的libmemcached源码压缩包,如使用1.0.18版libmemcached-1.0.18.tar.gz进行编译安装,添加--enable-sasl选项开启SASL认证功能。
- tar zxvf libmemcached-1.0.18.tar.gz
- cd libmemcached-1.0.18
- ./configure --prefix=/usr/local/libmemcached --enable-sasl
- make
- make install
在memcached官网下载memcached服务端源码,启用SASL验证功能需要在编译时指定--enable-sasl参数,否则安装成功后,无法启用SASL执行安装。
- tar zxvf memcached-1.5.8.tar.gz
- cd libmemcached-1.5.8
- ./configure --enable-sasl --prefix=/opt/memcached --with-libevent=/opt/memcached/libevent
- make
- make install
启动memcached服务,启用SASL验证功能,在启动时需要加-S(大写S)参数。
- /opt/memcached/bin/memcached -S -m 2048 -u xxxxx -P
- /tmp/memcached/memcached.pid -c 1024 -p 11211 -b 1024 -d
在PECL网站搜索Memcached,下载memcached-3.0.4.tgz,解压安装PHP的Memcached扩展。
- tar zxvf memcached-2.1.0.tar.gz
- cd memcached-2.1.0
- phpize
- ./configure --with-php-config=php-config --with-libmemcached-dir=/usr/local/libmemcached --enable-memcached-sasl
- make
- make install
修改PHP配置文件使SASL生效,同时重启PHP。
- # vim /etc/php.d/memcache.ini
- extension=memcached.so
- memcached.use_sasl=1
在PHP代码中使用SASL用户名和密码连接Memcached。
- $mc=new Memcached();
- $memcached->addServer('127.0.0.1',11211);
- $mc->setOption(Memcached::OPT_BINARY_PROTOCOL,true);
- $mc->setSaslAuthData("memcacheuser","password");
- $mc->set('key','value');
- echo $mc->get('key');