如何安全地运行 memcached?

如何安全地运行 memcached?

我们看到大量新闻报道这些大规模 DDOS 攻击源自暴露memcached在开放互联网上的服务器。

memcached有时用于加快 MySQL 服务器的性能,减少去磁盘重复查找数据的需要。

那么问题是:如何在 Ubuntu 中安全地运行 memcached?

答案1

过去,UDP 访问是访问 memcache 数据库信息的传统方式,因为它比 TCP 更快。

但是,UDP 并不能保证传输,而且现在的整体吞吐量更快,因此开发人员改用 TCP,并引入了一种身份验证机制,以防止不必要的流量造成服务器过载。

但是,他们并没有同样保护 UDP 访问机制,也许是认为没人会使用它。


随着最近所有的关注,这成为了一个错误报告:

Bug #1752831 memcached 应默认禁用 UDP

新版本将默认关闭UDP。

此外,现在已有补丁可用于禁用现有系统中的 UDP。


许多安装都需要在将新补丁发布到生产系统之前对其进行彻底测试,因此对大约 100,000 台面向公众的memcached服务器(在 Shodan 上找到)进行升级或修补需要一段时间。


因此,除了安装可能产生未知影响的补丁外,还有一种简单的方法可以安全地在当前安装中将其关闭。

保护 Ubuntu 和 Debian 服务器上的 Memcached

释义摘录:

在该/etc/memcached.conf文件中,附加以下行:

-u 0

这不会以任何方式影响 TCP 访问,并且不需要对新补丁进行全面测试。

相关内容