Memcached安全基线
访问控制
1.高危-禁止监听在公网
描述:
Memcache服务器端都是直接通过客户端连接后直接操作,没有任何的验证过程。如果服务器直接暴露在互联网上非常危险,存在极大的数据泄漏风险和服务被入侵风险。
加固建议:
在启动memcache时使用-l选项将memcache的监听主机指定为本机或是内网ip
2.高危-禁止使用root用户启动
描述:
使用root权限运行网络服务存在很大的风险,应避免使用root权限用户直接运行memcached服务
加固建议:
执行命令添加memcached用户useradd memcached -M -s /sbin/nologin
使用memcached用户启动memcached服务:memcached -u memcached -p <port> –U 0 -l <监听ip> -m 64m -c 512
3.中危-修改默认端口
描述:
使用-p参数指定memcached的监听端口默认为11211
,建议修改,memcached -u memcached -p <port> –U 0 -l <监听ip> -m 64m -c 512
加固建议:
避免使用熟知端口号,降低被初级扫描的风险
服务配置
4.高危-确保禁用memcache的UDP支持
描述:
攻击者可以利用memcache的UDP支持进行Memcache UDP 反射放大攻击,实施DDoS攻击
加固建议:
Memcached 启动时,建议添加“-U 0”参数可完全禁用 UDPmemcached -u memcached -p <port> –U 0 -l <监听ip> -m 64m -c 512 -U 0
入侵防范
5.高危-版本存在安全漏洞
描述:
Memcached版本<1.4.33存在三个整数溢出漏洞,通过这几个漏洞攻击者可以触发堆溢出进而远程执行任意命令。漏洞详情如下: https://avd.aliyun.com/detail?id=AVD-2016-8704 https://avd.aliyun.com/detail?id=AVD-2016-8705 https://avd.aliyun.com/detail?id=AVD-2016-8706
加固建议:
更新服务至1.4.33及以上版本,完成漏洞的修复,这些漏洞基于未授权访问或者服务存在弱口令,完成访问认证加固可降低被入侵风险。