CentOS 7에서 Memcache를 보호하는 방법

이 안내서는 Memcache를 보호하고 서버에서 Memcached Samplification 시도를 방지하고 멤버링 된 Smallification 시도를 방지하는 HostWinds 클라우드 VPS 및 전용 서버 클라이언트를 대상으로합니다. 우리는 서버의 아웃 바운드 대역폭 사용을 방지하기 위해이를 높이려고합니다. 이 가이드를 계속하려면 서버의 루트 사용자로 로그인해야합니다.

Memcache가 설치되었는지 확인

Step One: 다음 명령을 실행하여 Memcached 서비스의 상태를 확인할 수 있습니다.

sudo systemctl status memcached

CentOS 7에서 Memcached 보안

Step One: / etc / sysconfig / memcached 파일에서 좋아하는 텍스트 편집기를 사용하여 서비스 매개 변수를 조정하십시오. 예:

sudo nano /etc/sysconfig/memcached

2 단계 : -l 127.0.0.1 옵션을 사용하여 트래픽을 제한하도록 로컬 네트워크 인터페이스를 바인딩합니다. 또한 UDP 프로토콜의 증폭 공격을 방지하기 위해 UDP 수신기를 비활성화하려면 -U 0을 설정합니다.

PORT="11211"
USER="memcached"
MAXCONN="1024"
CACHESIZE="64"
OPTIONS="-l 127.0.0.1 -U 0"

3 단계 : 파일을 저장하고 닫습니다.

4 단계 : 이러한 변경 사항을 적용하려면 Memcached 서비스를 다시 시작하십시오.

sudo systemctl restart memcached

iptables에 방화벽 규칙 추가

Step One: 다음 명령으로 iptables를 사용하여 기본 방화벽을 추가 할 수 있습니다.

sudo iptables -A INPUT -i lo -j ACCEPT

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

sudo iptables -A 입력 -P TCP -S --DPORT 11211 -M CONNTRACK --CTSTATE NEW, PROUNT -J 수락

\ <yourceerVersipAddress>를 서버의 실제 IP 주소로 바꾸십시오.

sudo iptables -P INPUT DROP

2 단계 : 다음을 입력하여 Memcached가 현재 로컬 인터페이스에 바인딩되어 있고 TCP 만 수신하는지 확인합니다.

sudo netstat -plunt

결과는 Memcached가 127.0.0.1:11211에서 localhost에 바인딩되고 UDP에 대한 참조없이 TCP 만 사용함을 나타내야합니다.