Мы видим много освещения в новостях об этих огромных DDos-атаках, происходящих из memcached
серверы, которые выставляются открыть Internet.
memcached
иногда используется для ускорения производительности для серверов MySQL, уменьшая потребность перейти к диску для повторяющихся поисков данных.
Таким образом, вопрос: Как безопасно выполнить memcached в Ubuntu?
В прошлом доступ UDP был традиционно способом получить доступ к информации о базе данных кэш-памяти, потому что это было быстрее, чем TCP.
UDP не является гарантированной доставкой, тем не менее, и полная пропускная способность быстрее в эти дни, таким образом, разработчики, переключенные на TCP и, представили механизм аутентификации, чтобы препятствовать тому, чтобы нежелательный трафик перегрузил серверы.
Однако они не сделали столь же безопасный механизм доступа UDP, возможно, предположив, что никто не будет использовать его.
Со всем недавним вниманием это стало отчетом об ошибках:
Ошибка № 1752831 memcached должна отключить UDP по умолчанию
и новые версии примут значение по умолчанию к отключаемому UDP.
Кроме того, патчи теперь доступны для отключения UDP в существующих системах.
Много установок требуют полного тестирования новых патчей прежде, чем выпустить их к производственным системам, таким образом, пройдет некоторое время перед каждым из общедоступных приблизительно 100,000 memcached
серверы (как найдено на Shodan) обновлены или исправлены.
Таким образом за исключением установки патча, который мог бы иметь неизвестные эффекты, существует простой способ отключить его в текущих установках безопасно.
Обеспечение Memcached на Ubuntu и серверах Debian
Перефразируемая выборка:
В /etc/memcached.conf
файл, добавьте следующую строку:
-u 0
Это не будет влиять на доступ TCP всегда и не требует настоящего тестирования нового патча.