memcache安全性
Memcached 安全性说明
-
默认无认证
-
任何能连接到 Memcached 的客户端都可以执行
get/set/delete等操作。 -
容易被滥用
-
如果暴露在公网,有人可能利用 Memcached 发起 DDoS 放大攻击。
-
曾有不少案例是攻击者通过 Memcached 发送大流量请求给受害目标。
-
安全建议
-
只在内网使用,不要直接暴露到公网。
-
绑定本机或内网 IP:
-l 127.0.0.1 # 只允许本机访问 -l 内网IP # 只允许内网访问 -
使用防火墙限制访问:
# 只允许 192.168.1.0/24 内网访问 sudo ufw allow from 192.168.1.0/24 to any port 11211 -
部署在 VPN 或内网专用网络中。
-
前端加认证或代理:
- 比如用 Twemproxy / Mcrouter 做代理层,或者在应用层自己做访问控制。
补充
- Memcached 1.5+ 支持 SASL 认证(用户名+密码),但 SASL 需要编译时启用,且客户端也必须支持。
- 绝大多数简单部署并不会用 SASL,生产中更常见的是 依赖网络隔离和防火墙。