Navigation

    La Cabane Libre

    • Register
    • Login
    • Search
    • Catégories
    • Recent
    • Mots-clés
    • Ciné Libre

    Configurer Memcached pour le sécuriser

    La Bibliothèque
    tutoriel debian ubuntu
    1
    1
    782
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • The Worm's
      The Worm's Manchot Adélie last edited by

      La sécurisation du serveur memcached passe par deux étapes :

      • limiter l’adresse d’écoute du service ;
      • n’accepter que les connexions TCP.

      Avant la version /1.5.6/, memcached autorise par défaut les connexions TCP et UDP. Ce dernier mode peut être détourné pour générer des attaques dites « par amplification ». Comme indiqué par les développeurs, les connexions UDP étaient pertinentes à la création du logiciel : les ressources étaient alors plus rares. Dans ce guide, nous supposerons que vous faites partie des 99 % des utilisateurs qui n’ont pas besoin de connexions UDP.

      Si votre serveur memcached n’est utilisé que par la machine locale, vous pouvez limiter l’adresse d’écoute à 127.0.0.1. Si d’autres machines doivent s’y connecter depuis un réseau privé, forcez l’écoute sur une IP privée (par exemple 10.0.0.1, à adapter à votre classe réseau).

      Dans tous les cas, désactivez l’écoute en UDP grâce à la directive

      -U 0.
      

      Nous allons maintenant détailler les aspects de configuration pour les principaux systèmes d’exploitation déployés.
      Debian/Ubuntu

      Le comportement par défaut de Debian et Ubuntu est d’utiliser service memcached status*/start/restart/force-reloa*d pour gérer le service Memcached. Si tel est votre cas, éditez le fichier /etc/memcached.conf en étant connecté en root.

      Vous pouvez commencer par ajouter cette option qui désactive l’écoute UDP, laquelle est obsolète, comme expliqué précédemment.

      # Disable UDP protocol
      -U 0
      

      Si votre serveur memcached n’est utilisé que par la machine locale, vous pouvez alors activer l’option suivante qui vous évitera d’exposer votre service sur Internet :

      -l 127.0.0.1
      

      Une fois les modifications effectuées, sauvegardez le fichier et utilisez l’une de ces deux commandes pour redémarrer votre configuration :

      service memcached force-reload
      /etc/init.d/memcached force-reload
      

      source

      1 Reply Last reply Reply Quote 0
      • First post
        Last post

      Sauf mention contraire, le site est placé sous double licence Creative Commons BY-SA et GNU Free Documentation License propulsé par NodeBB