Hoe memcache op CentOS 7 te beveiligen

Deze gids is bedoeld voor Hostwinds Cloud VPS en Dedicated Server-clients die de mogelijkheid hebben om memcache te beveiligen en om verwerkingen van het versterking van hun server te voorkomen. We suggereren dit ten zeerste om eventueel uitgaande bandbreedte-gebruik van uw server te voorkomen. Om door te gaan met deze handleiding, wilt u ingelogd zijn als de rootgebruiker van uw server.

Bepaal of Memcache is geïnstalleerd

Step One: U kunt de volgende opdracht uitvoeren om de status van de MEMCACHED-service te bekijken.

sudo systemctl status memcached

Secure Memcached op CentOS 7

Step One: Pas de serviceparameters aan met behulp van uw favoriete teksteditor in uw / etc / sysconfig / memcached-bestand. Voorbeeld:

sudo nano /etc/sysconfig/memcached

Stap twee: Bind de lokale netwerkinterface om het verkeer te beperken door de optie -l 127.0.0.1 te gebruiken. Stel ook -U 0 in om de UDP-luisteraar uit te schakelen om versterkingsaanvallen van het UDP-protocol te voorkomen.

PORT="11211"
USER="memcached"
MAXCONN="1024"
CACHESIZE="64"
OPTIONS="-l 127.0.0.1 -U 0"

Stap drie: Sla het bestand op en sluit het.

Stap vier: Start de Memcached-service opnieuw om deze wijzigingen toe te passen.

sudo systemctl restart memcached

Voeg firewallregel toe aan iptables

Step One: U kunt een standaard firewall toevoegen met iptables met de volgende opdrachten:

sudo iptables -A INPUT -i lo -j ACCEPT

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

sudo iptables -a ingang-P TCP -S --dort 11211-m conntrack -CTState nieuw, gevestigd -J accepteert

Vervang \ <YourServersipAddress> hierboven met het huidige IP-adres van uw server.

sudo iptables -P INPUT DROP

Stap twee: Bevestig dat Memcached momenteel is gebonden aan de lokale interface en alleen luistert naar TCP door te typen:

sudo netstat -plunt

De resultaten zouden moeten aangeven dat Memcached gebonden is aan localhost op 127.0.0.1:11211 en alleen TCP gebruikt zonder verwijzingen naar UDP.