linux+sasl认证失败,memcached+SASL:更安全地访问memcached

最新推荐文章于 2022-07-06 21:51:35 发布
最新推荐文章于 2022-07-06 21:51:35 发布
阅读量268 收藏
点赞数
文章标签: linux+sasl认证失败

memcached是什么

memcached是一套被广泛使用的开源高性能的、分布式内存对象缓存系统。授权协议为BSD license,主要开发语言为C语言,数据以Key/Value方式存储在内存中。

108069

为什么要认证

memcached基于C/S架构,OpenStack的Nova等组件使用memcached作为缓存系统,由于memcached默认不开启认证机制,导致客户端无需认证即可读取、修改缓存内容。

本文介绍如何给memcached增加认证机制。

memcached认证机制

memcached目前支持的认证方式为SASL,由于memcached在1.4.3版本才加入对SASL的支持,所以要使用认证的话需要将memcached升级到>=1.4.3的版本。

目前华为公有云使用的memcached版本高于1.4.3,已实现SASL认证。

SASL是什么

SASL全称Simple Authentication and Security Layer(简单认证与安全层),是一种用来扩充C/S模式验证能力的机制,SASL只是认证过程,将应用层与系统认证机制整合起来,SASL本身不能进行认证。

SASL支持的认证方法为:getpwent kerberos5 pam rimap shadow ldap httpform。

下面以shadow为例讲解,即使用系统/etc/shadow文件中的用户名密码认证方式。

前提条件

1.版本

要使用认证的话需要将memcached升级到>=1.4.3的版本。

2.编译

增加编译选项:--enable-sasl进行编译。

3.客户端支持

如果要使用客户端,则客户端需要支持SASL,比如python-memcached目前不支持SASL,python-binary-memcached则支持SASL。

实现过程

1.配置SASL认证方式

在配置文件/etc/sysconfig/saslauthd中配置认证方式:

MECH=shadow

2.启动saslauthd进程

/usr/sbin/saslauthd -m /run/saslauthd -a shadow

3.测试saslauthd的认证功能

/usr/sbin/testsaslauthd -u os_user -p passwd_of_os_user

其中,os_user为系统用户,passwd_of_os_user为系统用户对应密码,如果用户名密码正确会返回:

0: OK "Success."

4.为memcached添加认证用户

/usr/sbin/saslpasswd2 -a memcached -c os_user

输入用户对应密码:

Password:

Again (for verification):

5.启动memcached服务,开启SASL认证

memcached –S -d -m 1024 -l 172.1.1.2 -p 11211 -u run_user

-S:开启SASL认证

至此,memcached就可以通过shadow方式(系统用户名密码)进行认证。

6.客户端示例:使用python-binary-memcached访问memcached

>>>import bmemcached

>>>client = bmemcached.Client((‘172.28.8.6:11211’, ), ‘os_user', 'passwd_of_os_user')

如果用户名密码错误会导致认证失败:

>>>client.set('key', 'value')

Traceback (most recent call last):

File "", line 1, in

File "build/bdist.linux-x86_64/egg/bmemcached/client.py", line 172, in set

File "build/bdist.linux-x86_64/egg/bmemcached/protocol.py", line 543, in set

File "build/bdist.linux-x86_64/egg/bmemcached/protocol.py", line 510, in _set_add_repla

File "build/bdist.linux-x86_64/egg/bmemcached/protocol.py", line 218, in _send

File "build/bdist.linux-x86_64/egg/bmemcached/protocol.py", line 130, in _open_connecti

File "build/bdist.linux-x86_64/egg/bmemcached/protocol.py", line 293, in _send_authenti

bmemcached.exceptions.memcachedException: Code: 32 Message:Auth failure.

总结

为memcached打开SASL认证可以提高memcached的安全性,但是,memcached为高性能缓存系统,增加认证无疑会带来一定的性能损耗,所以在使用的时候要权衡利弊。一般情况下,memcached需要部署在信任的网络中,如果无法启用SASL,建议把memcached部署在防火墙后。

参考链接

weixin_39690401
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Centos8.2版本中安装sasl出现问题
qq_33970713的博客
11-16 762
在centos8,2版本中,将sasl进行安装,安装过程如下: MECH已经配置成shadow方式 但是在执行命令: 出现认证失败的现象,现在还不知道怎么处理 在centos7中没有这种问题
linux saslauth用户,postfix配置之postfix结合SASl实现用户认证
weixin_28788561的博客
04-29 620
1.启动SASL服务1.1 SASL服务的启动脚本为/etc/init.d/saslauthd但是服务默认没有启动;1.2 显示当前的saslauthd服务支持的认证方式,默认为pam,但是默认并没有配置pam:[root@www ~]# saslauthd -vsaslauthd 2.1.23authentication mechanisms: getpwent kerberos5 pam ...
testsaslauthd出现0: NO "authentication failed"错误提示的解决办法
life169的专栏
11-09 1万+
在停止sendmail服务: service sendmail stop
sasl认证原理
atarik@163.com
02-26 8110
SASL(Simple Authentication and Security Layer,简单验证和安全层)是一个安全框架。SASL(发音为 "sassel")为基于连接的协议提供验证服务以及完整性和保密性服务(可选)。本章包含以下主题: 简单验证安全层 (Simple Authentication Security Layer, SASL) 介绍 SASL 示例 服务...
oslo_cache增加SASL安全认证代码
06-28
在实现SASL安全认证后,oslo_cache将能好地适应那些要求安全级别的环境,例如企业内部网络或云服务提供商。这将有助于保护存储在缓存中的数据,防止未经授权的访问,从而提升整个系统的安全性。 总的来说,...
mc:具有SASL支持的Go二进制Memcached客户端
05-17
mc.go:用于Memcached的纯Go驱动程序(二进制协议,线程安全) 安装 $ go get github.com/bmizerany/mc 用 import "github.com/bmizerany/mc" func main() { // Error handling omitted for demo cn, err := ...
php_memcached_dll:Windows php-memcached dll文件
05-10
memcached_support: 3.1.4 名称 is_support SASL支持 不 会话支持 是的 二进制支持 不 json支持 是的 msgpack支持 不 3.1.5 名称 is_support SASL支持 不 会话支持 是的 二进制支持 是的 json支持 是的 ...
Laravel开发-memcached-sasl
08-28
Laravel开发-memcached-sasl memcached sasl for laravel5的自定义缓存扩展,支持aliyun ocs。
python-binary-memcached:一个纯Python模块(线程安全),可通过其二进制协议访问具有SASL身份验证的memcached
05-02
一个纯python模块(线程安全),可以通过具有SASL auth支持的二进制文件访问memcached。 该模块的主要目的是能够与使用二进制协议的memcached通信并支持身份验证,因此它可以与Heroku一起使用。 有关在阅读文档的...
ACL+SASL的认证配置后的Kafka命令操作(Windows版)
yhdeng11402的博客
10-20 2802
设置了ACL+SASL认证后的Kafka,在使用Kafka的bin目录下自带的命令时,会频繁报错,需要传入SASL相应设置参数值,才能像非ACL认证的Kafka那样正常使用自带命令。本文简单介绍kafka-console-consumer和kafka-consumer-groups在ACL+SASL下的操作,并且列出我在实现过程中遇到的故障信息以及解决方案,供日后故障排除参考。
linux环境python虚拟环境安装sasl时报错
梦想成真那天
05-27 2169
ERROR: Command errored out with exit status 1: command: /home/hadoop/.virtualenvs/phone_location_info/bin/python3 -u -c 'import sys, setuptools, tokenize; sys.argv[0] = '"'"'/tmp/pip-install-o5ypiowe/sasl/setup.py'"'"'; __file__='"'"'/tmp/pip-install-..
遇到saslpasswd2不能创建/etc/sasldb2问题
iteye_19311的博客
12-07 814
# 运行以下语句始终不能创建/etc/sasldb2文件 saslpasswd2 -c -f /etc/sasldb2 -u mycorp.com myname # 后从google搜索到可以检查/var/log/messages文件(我想当然知道会有log文件,但接触linux不多,不知日志文件在哪),里面有错误信息: Dec  7 13:54:36 svr saslpasswd2: un...
集群Kafka配置SASL用户名密码认证
热门推荐
ez scope
06-13 2万+
本文中配置的kafka集群为三节点,Zookeeper有4节点。两个集群相互独立。 Apache Kafka v2.11-0.10.0.0 Apache Zookeeper v3.4.8 Kafka配置SASL PLAIN用于完成基本的用户名密码身份认证。 一、Zookeeper集群配置SASL zookeeper所有节点都是对等的,只是各个节点角色可
tigase源码分析7:用户连接登录流程
u013934901的博客
04-30 931
//在看本节之前一定要先了解下xmpp协议,建议仔细看下 tigase源码分析6:了解xmpp协议 //在看下面代码之前,要知道,每一个用户User通过某一资源连接到服务器时, //每一个User在不同的资源上登录都各对应着一个IOService, //每一个资源对应着一个XMPPResourceConnection, //同一个用户User多个XMPPResourceC...
Kafka 开启 SASL/PLAINTEXT 认证及 ACL
我吃柠檬的博客
07-06 4497
Linux 安装 Kafka 并开启 SASL/PLAINTEXT 认证
python使用python-binary-memcached操作memcached
tianyuan233
01-19 995
安装bmemcached github地址:https://github.com/jaysonsantos/python-binary-memcached pip install python-binary-memcached 使用实例 读取文本中的key并插入memcached 方法:set #!/usr/bin env python #VideoInfo0_366...
linux memcached做端口限制,linux下配置Memcached禁止公网访问
weixin_31256683的博客
05-06 327
PingFang SC", "Microsoft YaHei", SimHei, Arial, SimSun; white-space: normal; background-color: rgb(255, 255, 255);">1.修改memcached配置文件,添加OPTIONS的-l 127.0.0.1参数[root@iZbpinclude]#vim/etc/init.d/me...
kafka中sasl安全认证
最新发布
06-09
Kafka中可以使用SASL(Simple Authentication and Security Layer)来实现安全认证,保护Kafka集群的安全SASL提供了一种标准化的方法,用于在通信过程中进行身份验证和安全层的协商。 Kafka支持多种SASL机制,例如PLAIN、SCRAM、GSSAPI等。具体使用哪种SASL机制,取决于Kafka集群的配置和实际需求。在使用SASL认证时,需要在Kafka Broker和Client端都进行相应的配置。 在Broker端,需要配置以下参数: - security.inter.broker.protocol:设置Broker之间通信的安全协议,通常设置为SASL_PLAINTEXT或SASL_SSL。 - sasl.mechanism.inter.broker.protocol:设置Broker之间通信所使用的SASL机制。 - sasl.enabled.mechanisms:设置支持的SASL机制。 - listener.name.sasl_plaintext.sasl.server.callback.handler.class:设置SASL回调处理程序的类,该类用于验证客户端的身份。 - listener.name.sasl_ssl.sasl.server.callback.handler.class:设置SASL回调处理程序的类,该类用于验证客户端的身份。 在Client端,需要配置以下参数: - security.protocol:设置与Broker通信的安全协议,通常设置为SASL_PLAINTEXT或SASL_SSL。 - sasl.mechanism:设置客户端使用的SASL机制。 - sasl.jaas.config:设置用于身份验证的JAAS配置文件路径。 - sasl.client.callback.handler.class:设置SASL回调处理程序的类,该类用于提供客户端的凭据。 以上是一些基本参数的配置,具体的配置内容和方式可以参考Kafka官方文档或相关教程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值