萬盛學電腦網

 萬盛學電腦網 >> 數據庫 >> mysql教程 >> Memcache防止被非法讀取數據安全配置

Memcache防止被非法讀取數據安全配置

本文主要講到關於Memcache防止被非法讀取數據安全配置,有碰到此類問題的同學可進入參考。

memcache服務器端都是直接通過客戶端連接後直接操作,沒有任何的驗證過程,這樣如果服務器是直接暴露在互聯網上的話是比較危險,輕則數據洩露被其他無關人員查看,重則服務器被入侵,因為Mecache是以root權限運行的,況且裡面可能存在一些我們未知的bug或者是緩沖區溢出的情況,這些都是我們未知的,所以危險性是可以預見的。為了安全起見,我做兩點建議,能夠稍微的防止黑客的入侵或者數據的洩露。

1、內網訪問或者本地訪問:

最好把兩台服務器之間的訪問是內網形態的,一般是Web服務器跟Memcache服務器之間。普遍的服務器都是有兩塊網卡,一塊指向互聯網,一塊指向內網,那麼就讓Web服務器通過內網的網卡來訪問Memcache服務器,我們Memcache的服務器上啟動的時候就監聽內網的IP地址和端口,內網間的訪問能夠有效阻止其他非法的訪問。

 代碼如下 復制代碼

# memcached -d -m 1024 -u root -l 192.168.0.200 -p 11211 -c 1024 -P /tmp/memcached.pid

或者:

# memcached -d -m 1024 -u root -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

Memcache服務器端設置監聽通過內網的192.168.0.200或者本地的ip的11211端口,占用1024MB內存,並且允許最大1024個並發連接

2、設置防火牆

防火牆是簡單有效的方式,如果卻是兩台服務器都是掛在網的,並且需要通過外網IP來訪問Memcache的話,那麼可以考慮使用防火牆或者代理程序來過濾非法訪問。

一般我們在Linux下可以使用iptables或者FreeBSD下的ipfw來指定一些規則防止一些非法的訪問,比如我們可以設置只允許我們的Web服務器來訪問我們Memcache服務器,同時阻止其他的訪問。

 代碼如下 復制代碼

# iptables -F

# iptables -P INPUT DROP

# iptables -A INPUT -p tcp -s 192.168.0.2 --dport 11211 -j ACCEPT

# iptables -A INPUT -p udp -s 192.168.0.2 --dport 11211 -j ACCEPT

上面的iptables規則就是只允許192.168.0.2這台Web服務器對Memcache服務器的訪問,能夠有效的阻止一些非法訪問,相應的也可以增加一些其他的規則來加強安全性,這個可以根據自己的需要來做。

當然你也可以直接拒絕外部連接11211端口也是可以的。

copyright © 萬盛學電腦網 all rights reserved