Сценарий за отстраняване на уязвимост от неоторизиран достъп в Memcache

Малък боклук · Публикувано в 10.07.2016 г. 23:12:06 ч.

Описание на уязвимостта:

Memcache е често използвана система за кеширане на ключови стойности, тъй като няма модул за контрол на разрешенията, така че услугата memcache, отворена в публичната мрежа, е лесна за сканиране и откриване от нападатели, а чувствителната информация в memcache може да се чете директно чрез взаимодействие с команди.

Опции за поправка:

Тъй като memcache няма функции за контрол на разрешенията, потребителите трябва да ограничават източниците на достъп.

Опция 1:

Ако memcache не е задължително да е отворен в публичната мрежа, можете да зададете обвързания IP адрес на 127.0.0.1, когато memcached стартира. Например:

memcached -d -m 1024 -u root -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

където параметърът -l е посочен като локален адрес.

Сценарий 2: (Забележка: Моля, конфигурирайте правилата на iptables внимателно)

Ако услугата Memcache трябва да се предоставя външно, контролът на достъпа може да се извършва чрез iptables.

iptables -A ВХОД -p tcp -s 192.168.0.2 --dport 11211 -j ПРИЕМИ

Горното правило означава, че само IP адрес 192.168.0.2 има право на достъп до порт 11211.

Съни · Публикувано в 29.11.2016 г. 9:56:20 ч.

Добър пост............

[Безопасна комуникация] Сценарий за отстраняване на уязвимост от неоторизиран достъп в Memcache

Свързани публикации

Разгледани секции