Come proteggere Memcache su CentOS 7

Questa guida è destinata a HostWinds cloud VPS e ai client di server dedicati che hanno la possibilità di proteggere la mezione e prevenire i tentativi di amplificazione memcached dal proprio server. Consigliamo vivamente questo per evitare qualsiasi utilizzo in larghezza di banda in uscita dal tuo server. Per continuare con questa guida, dovresti essere registrato come utente root del server.

Determina se Memcache è installato

Step One: È possibile eseguire il seguente comando per vedere lo stato del servizio Memcached.

sudo systemctl status memcached

Memcached sicuro su CentOS 7

Step One: Regola i parametri di servizio utilizzando il tuo editor di testo preferito nel tuo file / etc / sysconfig / memcached. Esempio:

sudo nano /etc/sysconfig/memcached

Passo due: Associare l'interfaccia di rete locale per limitare il traffico utilizzando l'opzione -l 127.0.0.1. Inoltre, impostare -U 0 per disabilitare il listener UDP per impedire attacchi di amplificazione dal protocollo UDP.

PORT="11211"
USER="memcached"
MAXCONN="1024"
CACHESIZE="64"
OPTIONS="-l 127.0.0.1 -U 0"

Fase tre: Salva e chiudi il file.

Fase quattro: Riavvia il servizio Memcached per applicare queste modifiche.

sudo systemctl restart memcached

Aggiungi regola firewall a iptables

Step One: Puoi aggiungere un firewall di base utilizzando iptables con i seguenti comandi:

sudo iptables -A INPUT -i lo -j ACCEPT

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

sudo iptables -a input -p TCP -S --Dport 11211 -M Conntrack --CtState Nuovo, Funtato -J Accetta

Sostituisci \ <youtiversipaddress> sopra con l'indirizzo IP effettivo del server.

sudo iptables -P INPUT DROP

Passo due: Conferma che Memcached è attualmente associato all'interfaccia locale e ascolta solo TCP digitando:

sudo netstat -plunt

I risultati dovrebbero indicare che Memcached è associato a localhost in 127.0.0.1:11211 e utilizza solo TCP senza riferimenti a UDP.