文档章节

memcache 安全配置

沉淀岁月
 沉淀岁月
发布于 2016/09/09 09:24
字数 686
阅读 12
收藏 0

​在乌云提交的漏洞当中,有很多因为memecache限制不严格,导致信息泄露的问题:

WooYun: memcached未作IP限制导致缓存数据可被攻击者控制

WooYun: 通过Memcache缓存直接获取某物流网用户密码等敏感数据

WooYun: 56.com memcached端口可以远程使用

从memcache中获取信息通常是先查看items信息

 

Memcache服务器端都是直接通过客户端连接后直接操作,没有任何的验证过程,这样如果服务器是直接暴露在互联网上的话是比较危险,轻则数据泄露被其他无关人员查看,重则服务器被入侵,因为Mecache是以root权限运行的,况且里面可能存在一些我们未知的bug或者是缓冲区溢出的情况,这些都是我们未知的,所以危险性是可以预见的。

内网访问 监听内部ip

最好把两台服务器之间的访问是内网形态的,一般是Web服务器跟Memcache服务器之间。普遍的服务器都是有两块网卡,一块指向互联网,一块指向内网,那么就让Web服务器通过内网的网卡来访问Memcache服务器,我们Memcache的服务器上启动的时候就监听内网的IP地址和端口,内网间的访问能够有效阻止其他非法的访问。

# memcached -d -m 1024 -u root -l 192.168.0.200 -p 11211 -c 1024 -P /tmp/memcached.pid

Memcache服务器端设置监听通过内网的192.168.0.200的ip的11211端口,占用1024MB内存,并且允许最大1024个并发连接

设置防火墙 不监听ip,在防火墙设置ip限制端口访问

防火墙是简单有效的方式,如果却是两台服务器都是挂在网的,并且需要通过外网IP来访问Memcache的话,那么可以考虑使用防火墙或者代理程序来过滤非法访问。 一般我们在Linux下可以使用iptables或者FreeBSD下的ipfw来指定一些规则防止一些非法的访问,比如我们可以设置只允许我们的Web服务器来访问我们Memcache服务器,同时阻止其他的访问。

# iptables -F
# iptables -P INPUT DROP
# iptables -A INPUT -p tcp -s 192.168.0.2 --dport 11211 -j ACCEPT
# iptables -A INPUT -p udp -s 192.168.0.2 --dport 11211 -j ACCEPT

上面的iptables规则就是只允许192.168.0.2这台Web服务器对Memcache服务器的访问,能够有效的阻止一些非法访问,相应的也可以增加一些其他的规则来加强安全性,这个可以根据自己的需要来做。

本文转载自:www.wooyun.org/bugs/wooyun-2010-0790

沉淀岁月
粉丝 27
博文 257
码字总数 91615
作品 0
朝阳
高级程序员
私信 提问
在Windows 64位下为PHP5.6.14安装memcache扩展

1.现在要使用php连接memcached服务器,则需要引入对应的php-memcache.dll扩展,需要注意的是在windows下找对应的dll扩展要非常谨慎,一般要考虑以下几点:(查看phpinfo即可) 1、php版本 2、...

llnuannuan
2018/06/26
0
0
小蚂蚁学memcache笔记(完结)

memcache安全讨论 memcache和session的比较 memcache主要目的用于提速,因此它是一种无状态的数据,即数据不会和任何用户绑定。 session数据是和用户绑定的,因此是一种有状态的数据。 memc...

嗜学如命的小蚂蚁
2015/09/13
108
0
php的memcache和memcached扩展区别

老生长谈的问题了。我这里就整理一下。 memcache的文档在:http://pecl.php.net/package/memcache memcached的文档在:http://pecl.php.net/package/memcached 首先看下时间,memcache最早是...

王二狗子11
2018/01/07
0
0
云数据库 Memcache 版使用教程

简介: 云数据库 Memcache 版是基于内存的缓存服务,支持海量小数据的高速访问。云数据库 Memcache 版可以极大缓解对后端存储的压力,提高网站或应用的响应速度。 云数据库 Memcache 版支持 ...

mcy0425
2018/08/27
1
0
web应用安全基线-memcached安全配置

memcached漏洞 (1)CVE-2016-8706 Memcached Server SASL 身份认证远程命令执行漏洞 影响组件:Memcached(<1.4.33) 漏洞类型:代码执行 (2)CVE-2016-8705 Memcached Server Update 远程代...

cyberzhang
2016/11/25
127
0

没有更多内容

加载失败,请刷新页面

加载更多

关于运维,该怎么决定它的方向,这个似工作又似兴趣的存在

我之前主要从事网络、桌面、机房管理等相关工作,这些工作使我迷惘,这应该是大多数运维人都经历过的过程; 18年国庆,我从国内前三的消费金融公司裸辞,下海创业,就是想要摆脱这样的困境。...

网络小虾米
13分钟前
2
0
Java Timer的用法

Timer timer = new Timer(); timer.schedule(new TimerTask() { public void run() { System.out.println("11232"); } }, 200000 , 1000); public void schedule(TimerTask task, long delay......

林词
16分钟前
3
0
使用js动态加载外部js文件以及动态创建script脚本

动态脚本指的是在页面加载时不存在,但将来的某一时刻通过修改该DOM动态添加的脚本。和操作HTML元素一样,创建动态脚本也有两种方式:插入外部文件和直接插入JavaScript代码。 动态加载外的外...

Bing309
24分钟前
2
0
从零开始入门 K8s | Kubernetes 网络概念及策略控制

作者 | 阿里巴巴高级技术专家 叶磊 一、Kubernetes 基本网络模型 本文来介绍一下 Kubernetes 对网络模型的一些想法。大家知道 Kubernetes 对于网络具体实现方案,没有什么限制,也没有给出特...

阿里巴巴云原生
28分钟前
2
0
天气获取

本文转载于:专业的前端网站➨天气获取 $.get("http://wthrcdn.etouch.cn/WeatherApi", { citykey: cityCode }, function (d) { //创建文档对象 var parser = new ......

前端老手
28分钟前
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部