Cómo proteger Memcache en CentOS 7

Esta guía está diseñada para los VPS de Cloudwinds de Hostwinds y clientes de servidor dedicados que tienen la capacidad de asegurar Memcache y evitar que los intentos de amplificación Memcached de su servidor. Le sugerimos encarecidamente esto para evitar cualquier uso de ancho de banda saliente de su servidor. Para continuar con esta guía, querrá iniciar sesión como el usuario root de su servidor.

Determinar si Memcache está instalado

Paso uno: Puede ejecutar el siguiente comando para ver el estado del servicio Memcached.

sudo systemctl status memcached

Memcached seguro en CentOS 7

Paso uno: Ajuste los parámetros de servicio utilizando su editor de texto favorito en su archivo / etc / sysconfig / memcached. Ejemplo:

sudo nano /etc/sysconfig/memcached

Segundo paso: Vincule la interfaz de red local para restringir el tráfico mediante la opción -l 127.0.0.1. Además, configure -U 0 para deshabilitar el oyente UDP para evitar ataques de amplificación del protocolo UDP.

PORT="11211"
USER="memcached"
MAXCONN="1024"
CACHESIZE="64"
OPTIONS="-l 127.0.0.1 -U 0"

Paso tres: Guarde y cierre el archivo.

Paso cuatro: Reinicie el servicio Memcached para aplicar estos cambios.

sudo systemctl restart memcached

Agregar regla de firewall a iptables

Paso uno: Puede agregar un firewall básico usando iptables con los siguientes comandos:

sudo iptables -A INPUT -i lo -j ACCEPT

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

sudo iptables -a input -p tcp -s --dport 11211 -m ConnTrack --tstate nuevo, establecido -j aceptar

Reemplace \ <yourserversixdress> arriba con la dirección IP real de su servidor.

sudo iptables -P INPUT DROP

Segundo paso: Confirme que Memcached esté actualmente vinculado a la interfaz local y escuche solo TCP escribiendo:

sudo netstat -plunt

Los resultados deberían indicar que Memcached está vinculado a localhost en 127.0.0.1:11211 y solo usa TCP sin referencias a UDP.