memcache是一套常用的key-value快取系統,由於它本身沒有許可權控制模組,所以開放在外網的memcache服務很容易被攻擊者掃瞄發現,通過命令互動可直接讀取memcache中的敏感資訊。
修復方案
因memcache無許可權控制功能,所以需要使用者對訪問**進行限制,下面分享4中有效的解決方法。
1、繫結ip
memcached -d -m 1024 -u root -l 127.0.0.1 -p 11211 -c 1024 -p /tmp/memcached.pid
memcached -d -m 128 -l 127.0.0.1 -p 11211 -u root
-d 其中 -l 引數指定為本機位址。
2、配置iptables規則
如果memcache服務需要對外提供服務,則可以通過iptables進行訪問控制。
iptables -a input -p tcp -s 192.168.0.2 --dport 11211 -j accept
上述規則的意思是只允許192.168.0.2這個ip對11211埠進行訪問。
3、修改配置檔案
先檢視11211埠占用情況
命令:netstat -an|more 或者 netstat -anp | grep 11211
顯示 0 0.0.0.0:11211 即沒有做ip限制
執行命令:nc -vv x.x.x.x 11211 提示連線成功
執行命令:vim /etc/sysconfig/memcached,修改配置檔案
增加限制 options=」-l 127.0.0.1″,只能本機訪問,不對公網開放,儲存退出
執行命令:/etc/init.d/memcached reload重啟服務即可
再執行連線命令提示連線失敗,
4、伺服器安全軟體
如果你的伺服器安裝了安全軟體,例如安全狗等,你可以配置tcp連線策略,限制memcache埠的外網ip訪問。
關於許可權問題
關於6.0許可權 使用permissiondispater 需要注意的問題 使用的activity 必須繼承 不支援fragment 遇到這麼坑的問題時 我只想嚎啕大哭 但是部門妹子太多 哭起來沒人心疼 還是自己整吧 一般使用手動定義的 新增許可權 private void addpermissio...
關於Memcache的連線
addserver 在說memcache的長連線 pconnect 和短連線 connect 之前要先說說memcache的addserver,memcache的addserver是增加乙個伺服器到連線池中 addserver沒有連線到伺服器的動作,所以在memcache程序沒有啟動的時候,執行ad...
關於lnmp許可權問題
方法1 user.ini檔案無法直接修改,如要修或刪除需要先執行 chattr i 目錄 user.ini 可以使用winscp檔案管理 vim編輯器或nano編輯器進行修改。刪除的話rm f 目錄 user.ini 就可以。修改完成後再執行 chattr i 目錄 user.ini user.in...