Como proteger um servidor com o serviço Memcached

Bases de conhecimento

KB0043693

Como proteger um servidor com o serviço Memcached


Icons/System/eye-open Created with Sketch. 352 visualizações 02.03.2018 Cloud / Servidor dedicado (bare metal)

Sumário

O Memcached é um sistema de base de dados de armazenamento «em memória cache» usado, por exemplo, para acelerar aplicações web. Este sistema guarda em cache o conteúdo estático e os resultados das consultas a bases de dados. Ou seja, é uma base base de dados de armazenamento chave-valor (armazenamento não persistente).

Na configuração original, o Memcached não está protegido com um sistema de autenticação. Isto significa que, se o servidor estiver acessível, «toda a gente» pode ler e alterar os dados aí armazenados. Como tal, é necessário alterar a configuração para garantir a segurança da base de dados.

Este guia ajuda a realizar a configuração de forma correta.

A utilização e a gestão dos serviços OVHcloud são da responsabilidade do cliente. A OVHcloud não tem permissões de acesso à parte lógica dos sistemas. O cliente é o único responsável pela gestão e pela segurança destes serviços.

Este guia explica como implementar algumas medidas para tornar o seu sistema mais seguro. Se encontrar alguma dificuldade relacionada com o processo, deverá contactar um serviço especializado. Para mais informações, aceda à secção deste guia intitulada: «Quer saber mais?»

Requisitos

  • Ter acesso ao servidor com o serviço Memcached (acesso SSH para sistemas Linux, acesso via Desktop Remoto para Windows).
  • Conseguir identificar os serviços que usam Memcached. Para tal, convém saber responder às seguintes questões:
    • Os serviços que usam Memcached estão todos no mesmo servidor? São usados numa rede privada?
    • Os serviços que usam Memcached precisam de estar disponíveis na Internet?

Instruções

Configurações de segurança do Memcached

A proteção do servidor memcached é garantida de duas formas:

  • limitando o endereço de escuta (listener) do sistema;
  • aceitando apenas ligações TCP.

Antes da versão /1.5.6/, a configuração original memcached permitia ligações TCP e UDP. Isto porque, quando o Memchached foi criado, o protocolo UDP era uma boa solução para aumentar a rapidez das ligações. Nessa altura, os recursos de rede eram mais limitados. Contudo, o protocolo UDP pode ser usado para realizar ataques DDoS «por amplificação». Este guia é destinado ao grupo dos 99% de utilizadores que não precisam de usar UDP.

Se o seu servidor memcached só for usado numa máquina local, pode limitar o endereço de escuta a 127.0.0.1. Se houver necessidade de ligar outras máquinas ao servidor através duma rede privada, deve forçar a escuta a um IP privado (e.g. 10.0.0.1). Este deve ser adaptado às classe IP da sua rede.

De qualquer maneira, é necessário desativar a escuta em UDP, usando o comando -U 0.

Na próxima secção, iremos dar exemplos de configuração para os principais sistemas operativos.

Debian/Ubuntu

Normalmente, os sistemas Debian e Ubuntu usam service memcached status/start/restart/force-reload para gerir o serviço Memcached. Se for este o caso, altere o ficheiro /etc/memcached.conf usando o acesso root.

Primeiro, adicione a instrução indicada abaixo para desativar a escuta UDP:

# Disable UDP protocol
-U 0

Se o servidor memcached só for usado na máquina local, use a opção indicada abaixo para anular a vulnerabilidade do serviço na Internet:

-l 127.0.0.1

Agora, guarde o ficheiro e execute um destes dois comandos para implementar a nova configuração.

service memcached force-reload
/etc/init.d/memcached force-reload

CentOS - Fedora - Red Hat

Normalmente, os sistemas CenTOS, Fedora e Red Hat usam service memcached status/start/restart/force-reload para gerir o serviço Memcached. Se for este o caso, altere o ficheiro /etc/sysconfig/memcached usando o acesso root.

Se o servidor memcached só for usado na máquina local, sugerimos o uso do comando OPTIONS conforme indicado abaixo, para desativar o protocolo UDP e anular a vulnerabilidade do serviço na Internet:

OPTIONS="-l 127.0.0.1 -U 0"

Se o seu servidor memcached for usado por outros servidores, use o comandoOPTIONS conforme indicado abaixo, para desativar o protocolo UDP:

OPTIONS="-U 0"

Agora, guarde o ficheiro e execute o comando indicado abaixo para implementar a nova configuração:

sudo service memcached force-reload

Arch Linux

Normalmente, o Arch Linux usa systemctl start/restart/stop memcached para gerir o serviço Memcached. Se for este o caso, altere o ficheiro /usr/lib/systemd/system/memcached usando o acesso root.

Se o seu servidor memcached só for usado na máquina local, sugerimos o uso do comando indicado abaixo, para desativar o protocolo UDP e anular a vulnerabilidade do sistema na Internet:

ExecStart=/usr/bin/memcached -l 127.0.0.1 -U 0 -o modern

Se o seu servidor memcached for usado por outros servidores, use o comando indicado abaixo para desativar o protocolo UDP:

ExecStart=/usr/bin/memcached -U 0 -o modern

Agora, guarde o ficheiro e execute um dos comandos indicados abaixo implementar as novas configurações:

sudo systemctl daemon-reload
sudo systemctl force-reload memcached

Quer saber mais?

Fale com a nossa comunidade de utilizadores: https://community.ovh.com/en/.

Artigos relacionados