一、修改默认端口 | 访问控制
描述
使用-p参数指定memcached的监听端口默认为11211
,建议修改,memcached -u memcached -p <port> –U 0 -l <监听ip> -m 64m -c 512
加固建议
避免使用熟知端口号,降低被初级扫描的风险
操作时建议做好记录或备份
二、禁止监听在公网 | 访问控制
描述
Memcache服务器端都是直接通过客户端连接后直接操作,没有任何的验证过程。如果服务器直接暴露在互联网上非常危险,存在极大的数据泄漏风险和服务被入侵风险。
加固建议
在启动memcache时使用-l选项将memcache的监听主机指定为本机或是内网ip
操作时建议做好记录或备份
三、禁止使用root用户启动 | 访问控制
描述
使用root权限运行网络服务存在很大的风险,应避免使用root权限用户直接运行memcached服务
加固建议
执行命令添加memcached用户useradd memcached -M -s /sbin/nologin 使用memcached用户启动memcached服务:memcached -u memcached -p –U 0 -l <监听ip> -m 64m -c 512
操作时建议做好记录或备份
四、确保禁用memcache的UDP支持 | 服务配置
描述
攻击者可以利用memcache的UDP支持进行Memcache UDP 反射放大攻击,实施DDoS攻击
加固建议
Memcached 启动时,建议添加“-U 0”参数可完全禁用 UDPmemcached -u memcached -p –U 0 -l <监听ip> -m 64m -c 512 -U 0
操作时建议做好记录或备份