如何在Ubuntu 18.04上安装和保护Memcached

像Memcached这样的内存对象缓存系统可以通过在内存中临时存储信息,保留频繁或最近请求的记录来优化后端数据库性能。在本指南中,我们将介绍如何通过将安装绑定到本地或专用接口以及为Memcached实例创建授权用户来保护Memcached服务器。

介绍

像Memcached这样的内存对象缓存系统可以通过在内存中临时存储信息,保留频繁或最近请求的记录来优化后端数据库性能。 通过这种方式,它们可以减少对数据库的直接请求数。

因为如果配置不当,Memcached等系统可能会导致拒绝服务攻击,因此保护Memcached服务器非常重要。 在本指南中,我们将介绍如何通过将安装绑定到本地或专用网络接口以及为Memcached实例创建授权用户来保护Memcached服务器。

先决条件

本教程假定您使用非root sudo用户和基本防火墙设置服务器。 如果不是这样,请设置以下内容:

有了这些先决条件,您就可以安装和保护Memcached服务器了。

第1步 - 从官方存储库安装Memcached

如果您的服务器上尚未安装Memcached,则可以从官方Ubuntu存储库安装它。 首先,确保更新本地包索引:

sudo apt update

接下来,安装官方包如下:

sudo apt install memcached

我们还可以安装libmemcached-tools ,这是一个提供多种工具来与Memcached服务器配合使用的库:

sudo apt install libmemcached-tools

Memcached现在应该作为服务安装在您的服务器上,以及允许您测试其连接性的工具。 我们现在可以继续保护其配置设置。

第2步 - 保护Memcached配置设置

为确保我们的Memcached实例正在监听本地接口127.0.0.1 ,我们将检查位于/etc/memcached.conf的配置文件中的默认设置。 随Ubuntu和Debian一起提供的当前版本的Memcached将-l参数设置为本地接口,以防止来自网络的拒绝服务攻击。 我们可以检查此设置以确保正确设置。

你可以用nano打开/etc/memcached.conf

sudo nano /etc/memcached.conf

要检查接口设置,请在文件中找到以下行:

/etc/memcached.conf
. . .
-l 127.0.0.1
. . .

如果您看到默认设置-l 127.0.0.1则无需修改此行。 如果您确实将此设置修改为更开放,那么同样禁用UDP也是一个好主意,因为它更有可能被用于拒绝服务攻击。 要禁用UDP(同时保持TCP不受影响),请将以下选项添加到此文件的底部:

/etc/memcached.conf
. . .
-U 0

完成后保存并关闭文件。

重新启动Memcached服务以应用更改:

sudo systemctl restart memcached

通过键入以下内容,验证Memcached当前是否绑定到本地接口并仅监听TCP连接:

sudo netstat -plunt

您应该看到以下输出:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
. . .
tcp        0      0 127.0.0.1:11211         0.0.0.0:*               LISTEN      2279/memcached
. . .

这确认了memcached仅使用TCP绑定到127.0.0.1地址。

第3步 - 添加授权用户

要将经过身份验证的用户添加到Memcached服务,可以使用简单身份验证和安全层(SASL),这是一个将身份验证过程与应用程序协议分离的框架。 我们将在Memcached配置文件中启用SASL,然后继续添加具有身份验证凭据的用户。

配置SASL支持

我们可以先用memcstat命令测试Memcached实例的连接性。 这将有助于我们在更改配置文件后确定已启用SASL和用户身份验证。

要检查Memcached是否已启动并运行,请键入以下内容:

memcstat --servers="127.0.0.1"

您应该看到如下输出:

Server: 127.0.0.1 (11211)
         pid: 2279
         uptime: 65
         time: 1546620611
         version: 1.5.6
     . . .

现在我们可以继续启用SASL。 首先,我们将-S参数添加到/etc/memcached.conf 再次打开文件:

sudo nano /etc/memcached.conf

在文件的底部,添加以下内容:

/etc/memcached.conf
. . .
-S

接下来,查找并取消注释-vv选项,该选项将向/var/log/memcached提供详细输出。 未注释的行应如下所示:

/etc/memcached.conf
. . .
-vv

保存并关闭文件。

重启Memcached服务:

sudo systemctl restart memcached

接下来,我们可以查看日志以确保已启用SASL支持:

sudo journalctl -u memcached

您应该看到以下行,表明SASL支持已初始化:

. . .
Jan 04 16:51:12 memcached systemd-memcached-wrapper[2310]: Initialized SASL.
. . .

我们可以再次检查连接,但由于SASL已初始化,因此该命令在没有身份验证的情况下会失败:

memcstat --servers="127.0.0.1"

此命令不应产生输出。 我们可以输入以下内容来检查其状态:

echo $?

$? 将始终返回退出的最后一个命令的退出代码。 通常,除0之外的任何内容都表示进程失 在这种情况下,我们应该看到退出状态为1 ,这告诉我们memcstat命令失败。

添加经过身份验证的用户

现在我们可以下载sasl2-bin ,这是一个包含SASL用户数据库管理程序的软件包。 这将允许我们创建我们的身份验证用户:

sudo apt install sasl2-bin

接下来,我们将创建Memcached将检查其SASL配置设置的目录和文件:

sudo mkdir /etc/sasl2
sudo nano /etc/sasl2/memcached.conf 

将以下内容添加到SASL配置文件中:

/etc/sasl2/memcached.conf
mech_list: plain
log_level: 5
sasldb_path: /etc/sasl2/memcached-sasldb2

除了指定我们的日志记录级别之外,我们还将mech_list设置为plain ,它告诉Memcached它应该使用自己的密码文件并验证明文密码。 我们还将指定下一步将创建的用户数据库文件的路径。 完成后保存并关闭文件。

现在我们将使用我们的用户凭据创建SASL数据库。 我们将使用saslpasswd2命令使用-c选项在我们的数据库中为我们的用户创建一个新条目。 我们的用户将在这里使用sammy ,但您可以使用自己的用户替换此名称。 使用-f选项,我们将指定数据库的路径,这将是我们在/etc/sasl2/memcached.conf设置的路径:

sudo saslpasswd2 -a memcached -c -f /etc/sasl2/memcached-sasldb2 sammy

系统将要求您输入并重新验证您选择的密码。

最后,我们将通过SASL数据库为memcache用户提供所有权:

sudo chown memcache:memcache /etc/sasl2/memcached-sasldb2

重启Memcached服务:

sudo systemctl restart memcached

再次运行memcstat将确认我们的身份验证过程是否有效。 这次我们将使用我们的身份验证凭据运行它:

memcstat --servers="127.0.0.1" --username=sammy --password=your_password

您应该看到如下输出:

Server: 127.0.0.1 (11211)
         pid: 2772
         uptime: 31
         time: 1546621072
         version: 1.5.6 Ubuntu
     . . .

我们的Memcached服务现在已成功运行,具有SASL支持和用户身份验证。

第4步 - 允许通过专用网络进行访问(可选)

我们已经介绍了如何配置Memcached来监听本地接口,这可以通过保护Memcached接口免于暴露给外部各方来防止拒绝服务攻击。 但是,可能存在需要允许其他服务器访问的情况。 在这种情况下,您可以调整配置设置以将Memcached绑定到专用网络接口。

注意:我们将在本节介绍如何使用UFW配置防火墙设置,但也可以使用DigitalOcean Cloud Firewalls来创建这些设置。 有关设置DigitalOcean云防火墙的更多信息,请参阅我们的DigitalOcean云防火墙简介 要了解有关如何限制特定计算机的传入流量的更多信息,请查看本教程中有关使用标记和服务器名称应用防火墙规则的部分以及我们对防火墙标记的讨论。

使用防火墙限制IP访问

在调整配置设置之前,最好设置防火墙规则以限制可以连接到Memcached服务器的计算机。 您需要知道客户端服务器的专用IP地址才能配置防火墙规则。 有关DigitalOcean上的专用网络的更多信息,请参阅DigitalOcean专用网络的概述

如果您使用的是UFW防火墙,则可以通过键入以下内容来限制对Memcached实例的访问:

sudo ufw allow from client_server_private_IP/32 to any port 11211

您可以通过阅读我们的ufw essentials指南了解有关UFW防火墙的更多信息。

通过这些更改,您可以调整Memcached服务以绑定到服务器的专用网络接口。

将Memcached绑定到专用网络接口

现在您的防火墙已就位,您可以调整Memcached配置以绑定到服务器的专用网络接口而不是127.0.0.1

我们可以通过输入以下命令再次打开/etc/memcached.conf文件:

sudo nano /etc/memcached.conf

在里面,找到您之前检查或修改过的-l 127.0.0.1行,并更改地址以匹配服务器的专用网络接口:

/etc/memcached.conf
. . .
-l memcached_server_private_IP
. . .

完成后保存并关闭文件。

接下来,重新启动Memcached服务:

sudo systemctl restart memcached

使用netstat检查新设置以确认更改:

sudo netstat -plunt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address                                Foreign Address         State       PID/Program name
. . .
tcp        0      0 memcached_server_private_IP:11211            0.0.0.0:*               LISTEN      2912/memcached
. . .

测试来自外部客户端的连接,以确保您仍然可以访问该服务。 最好还是检查来自未授权客户端的访问权限,以确保防火墙规则有效。

结论

在本教程中,我们介绍了如何通过将Memcached服务器配置为绑定到本地或专用网络接口以及启用SASL身份验证来保护Memcached服务器。

要了解有关Memcached的更多信息,请查看项目文档 有关如何使用Memcached的更多信息,请参阅我们的如何在Ubuntu 14.04上安装和使用Memcache的教程。


分享按钮