PHP安全：Memcache的使用安全

Memcache服务器端都是直接通过客户端连接后直接操作，没有任何的验证过程，不需要认证就可以随意交互。服务器直接暴露在互联网上是比较危险的，轻则数据泄露被其他无关人员查看，重则服务器被入侵。

创新互联主要从事成都做网站、成都网站设计、网页设计、企业做网站、公司建网站等业务。立足成都服务改则,10年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:18982081108

Memcache暴露在外网中会被攻击者利用发起DRDoS反射攻击，通过发送大量带有被害者IP地址的UDP数据包给放大器主机，然后放大器主机对伪造的IP地址源做出大量回应，形成分布式拒绝服务攻击。

1、IP访问限制

将Memcache服务放置于可信域内，有外网时不要监听0.0.0.0，有特殊需求可以通过防火墙设置acl或者添加安全组。通过添加Memcache启动参数来监听内网的IP地址和端口，内网间的访问能够有效阻止攻击者的非法访问。

 
 
 
  
  
  
# memcached -d -m 1024 -u nobody -l 10.16.0.20 -p 11211 -c 1024 -P/tmp/memcached.pid 
 
 

以上配置中设置Memcache服务器端只允许监听内网的10.16.0.20的IP的11211端口，占用1024MB内存，并且允许最多1024个并发连接。

如果是对外提供服务，并且需要通过外网IP来访问Memcache，防止机器扫描和SSRF等攻击，可以将Memcache的监听端口随机改为其他的端口。

同时使用防火墙或者代理程序来过滤非法访问。一般在Linux下可以使用iptables或者FreeBSD下的ipfw来指定一些规则防止一些非法的访问，比如可以设置只允许特定外网IP访问Memcache服务器，同时阻止其他非法访问。

 
 
 
  
  
  
# iptables -F  
  
  
  
# iptables -P INPUT DROP  
  
  
  
# iptables -A INPUT -p tcp -s 192.168.0.2 --dport 11211 -j ACCEPT  
  
  
  
# iptables -A INPUT -p udp -s 192.168.0.2 --dport 11211 -j ACCEPT 
 
 

上面的iptables规则就是只允许110.18.0.2这台服务器对Memcache服务器的访问，能够有效地阻止一些非法访问，相应地也可以增加一些其他的规则来加强安全性，这个可以根据自己的需要来进行。

2、使用SASL验证

简单验证安全层（Simple Authentication Security Layer，SASL）为应用程序和共享库的研发人员提供了用于验证、数据完整性检查和加密的机制。

以CentOS为例来给Memcache添加SASL支持。

首先在系统中安装SASL支持。

 
 
 
  
  
  
yum install cyrus-sasl cyrus-sasl-lib cyrus-sasl-devel cyrus-sasl-plain 
 
 

查看安装结果。

 
 
 
  
  
  
$saslauthd -v  
  
  
  
saslauthd 2.1.23  
  
  
  
authentication mechanisms: getpwent kerberos5 pamrimap shadow ldap 
 
 

当前可使用的密码验证方法有getwent、kerberos5、pam、rimap、shadow和ldap，配置成使用shadow方式进行认证。

 
 
 
  
  
  
# 修改/etc/sysconfig/saslauthd文件  
  
  
  
MECH=shadow 
 
 

重启saslauthd。

 
 
 
  
  
  
sudo /etc/init.d/saslauthd restart  
  
  
  
Stopping saslauthd: [OK]  
  
  
  
Starting saslauthd: [OK] 
 
 

设置Memcache用户的SASL认证密码。

 
 
 
  
  
  
saslpasswd2 -c -a memcached memcacheuser  
  
  
  
Password: #输入密码  
  
  
  
Again (for verification): #再次输入密码 
 
 

最终生成的密码保存在/etc/sasldb2中。

使用sasldblistusers2命令查看已经添加的用户。

 
 
 
  
  
  
memcacheuser@3b7fc9690a12：userPassword 
 
 

在libmemcached官网选择适合自己的libmemcached源码压缩包，如使用1.0.18版libmemcached-1.0.18.tar.gz进行编译安装，添加--enable-sasl选项开启SASL认证功能。

 
 
 
  
  
  
tar zxvf libmemcached-1.0.18.tar.gz  
  
  
  
cd libmemcached-1.0.18  
  
  
  
./configure --prefix=/usr/local/libmemcached --enable-sasl  
  
  
  
make  
  
  
  
make install 
 
 

在memcached官网下载memcached服务端源码，启用SASL验证功能需要在编译时指定--enable-sasl参数，否则安装成功后，无法启用SASL执行安装。

 
 
 
  
  
  
tar zxvf memcached-1.5.8.tar.gz  
  
  
  
cd libmemcached-1.5.8  
  
  
  
./configure --enable-sasl --prefix=/opt/memcached --with-libevent=/opt/memcached/libevent  
  
  
  
make  
  
  
  
make install 
 
 

启动memcached服务，启用SASL验证功能，在启动时需要加-S（大写S）参数。

 
 
 
  
  
  
/opt/memcached/bin/memcached -S -m 2048 -u xxxxx -P  
  
  
  
/tmp/memcached/memcached.pid -c 1024 -p 11211 -b 1024 -d 
 
 

在PECL网站搜索Memcached，下载memcached-3.0.4.tgz，解压安装PHP的Memcached扩展。

 
 
 
  
  
  
tar zxvf memcached-2.1.0.tar.gz  
  
  
  
cd memcached-2.1.0  
  
  
  
phpize  
  
  
  
./configure --with-php-config=php-config --with-libmemcached-dir=/usr/local/libmemcached --enable-memcached-sasl  
  
  
  
make  
  
  
  
make install 
 
 

修改PHP配置文件使SASL生效，同时重启PHP。

 
 
 
  
  
  
# vim /etc/php.d/memcache.ini  
  
  
  
extension=memcached.so  
  
  
  
memcached.use_sasl=1 
 
 

在PHP代码中使用SASL用户名和密码连接Memcached。

 
 
 
  
  
  
$mc=new Memcached();  
  
  
  
$memcached->addServer('127.0.0.1',11211);  
  
  
  
$mc->setOption(Memcached::OPT_BINARY_PROTOCOL,true);  
  
  
  
$mc->setSaslAuthData("memcacheuser","password");  
  
  
  
$mc->set('key','value');  
  
  
  
echo $mc->get('key');  
 
 

名称栏目：PHP安全：Memcache的使用安全
URL标题：http://www.gawzjz.com/qtweb/news41/188541.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联