Notifications
Clear all

Sécuriser le service Memcached sur linux  


Kamleu Noumi Emeric
Posts: 47
Membre
Inscription: Il y a 9 ans

Memcached est un service principalement utilisé pour accélérer les applications web en mettant en cache le contenu statique et les résultats des requêtes des bases de données. Par défaut, memcached n’est pas protégé par une authentification. Sur un serveur public, tout le monde peut y lire et écrire des données. D'ailleurs les recentes attaques DDOS était basées sur cette faille de sécurité. C’est pour cela qu’il est important de sécuriser cette base de données.

La sécurisation du serveur memcached passe par deux étapes :

  1. Limiter l’adresse d’écoute du service ;
  2. N’accepter que les connexions TCP.
Avant la version 1.5.6, memcached autorise par défaut les connexions TCP et UDP. Ce dernier mode peut être détourné pour générer des attaques dites « par amplification ». Si votre serveur memcached n’est utilisé que par la machine locale, vous pouvez limiter l’adresse d’écoute à 127.0.0.1. Si d’autres machines doivent s’y connecter depuis un réseau privé, forcez l’écoute sur une IP privée (par exemple 10.0.0.1).
 
Sur Debian/Ubuntu
 
On commence par éditer le fichier de configuration.
Vous pouvez commencer par ajouter cette option qui désactive l’écoute UDP ou s'assurer qu'elle existe.
 
nano /etc/memcached.conf
#Disable UDP protocol

-U 0
Si votre serveur memcached n’est utilisé que par la machine locale, vous pouvez alors activer l’option suivante qui vous évitera d’exposer votre service sur Internet :
-l 127.0.0.1
Une fois les modifications effectuées, sauvegardez le fichier et utilisez l’une de ces deux commandes pour redémarrer votre configuration :
 
service memcached force-reload
 
ou
 
/etc/init.d/memcached force-reload

 
Sur CentOS - Fedora - Red Hat

nano /etc/sysconfig/memcached

On ajoute ou on s'assure que cette ligne existe.

OPTIONS="-l 127.0.0.1 -U 0"

Si votre serveur memcached est également utilisé par des serveurs tiers, alors cette simple ligne d’OPTIONS permettra de désactiver uniquement le protocole UDP :

OPTIONS="-U 0"

Une fois les modifications effectuées, sauvegardez le fichier et utilisez la commande suivante pour redémarrer la configuration :

sudo service memcached force-reload

 

Source: https://docs.ovh.com/fr/dedicated/securiser-serveur-avec-service-memcache/