Memcache防止被非法讀取數據安全配置

本文主要講到關於Memcache防止被非法讀取數據安全配置,有碰到此類問題的同學可進入參考。

memcache服務器端都是直接通過客戶端連接後直接操作，沒有任何的驗證過程，這樣如果服務器是直接暴露在互聯網上的話是比較危險，輕則數據洩露被其他無關人員查看，重則服務器被入侵，因為Mecache是以root權限運行的，況且裡面可能存在一些我們未知的bug或者是緩沖區溢出的情況，這些都是我們未知的，所以危險性是可以預見的。為了安全起見，我做兩點建議，能夠稍微的防止黑客的入侵或者數據的洩露。

1、內網訪問或者本地訪問：

最好把兩台服務器之間的訪問是內網形態的，一般是Web服務器跟Memcache服務器之間。普遍的服務器都是有兩塊網卡，一塊指向互聯網，一塊指向內網，那麼就讓Web服務器通過內網的網卡來訪問Memcache服務器，我們Memcache的服務器上啟動的時候就監聽內網的IP地址和端口，內網間的訪問能夠有效阻止其他非法的訪問。

 代碼如下 復制代碼

# memcached -d -m 1024 -u root -l 192.168.0.200 -p 11211 -c 1024 -P /tmp/memcached.pid

或者：

# memcached -d -m 1024 -u root -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

Memcache服務器端設置監聽通過內網的192.168.0.200或者本地的ip的11211端口，占用1024MB內存，並且允許最大1024個並發連接

2、設置防火牆

防火牆是簡單有效的方式，如果卻是兩台服務器都是掛在網的，並且需要通過外網IP來訪問Memcache的話，那麼可以考慮使用防火牆或者代理程序來過濾非法訪問。

一般我們在Linux下可以使用iptables或者FreeBSD下的ipfw來指定一些規則防止一些非法的訪問，比如我們可以設置只允許我們的Web服務器來訪問我們Memcache服務器，同時阻止其他的訪問。

 代碼如下 復制代碼

# iptables -F

# iptables -P INPUT DROP

# iptables -A INPUT -p tcp -s 192.168.0.2 --dport 11211 -j ACCEPT

# iptables -A INPUT -p udp -s 192.168.0.2 --dport 11211 -j ACCEPT

上面的iptables規則就是只允許192.168.0.2這台Web服務器對Memcache服務器的訪問，能夠有效的阻止一些非法訪問，相應的也可以增加一些其他的規則來加強安全性，這個可以根據自己的需要來做。

當然你也可以直接拒絕外部連接11211端口也是可以的。