memcachedを安全に運用するポイント
2010年8月10日のスラッシュドット・
- bit.
ly や Globworld, Gowalla といったサイトではインターネットから memcached へのアクセスが可能であった - アクセスしたmemcached上にユーザーのログイン ID / パスワードが格納されており参照可能だった
http://
ここには2つの問題があったと考えます。1つ目はmemcachedをインターネットから接続可能な状態で設置してしまったこと,
あまり知られていることではありませんが,
memcachedを安全に運用するためには,
memcachedを限られたネットワークに設置する
memcachedは,
特定のインターフェースのみListenする
グローバルIPアドレスからの接続を防ぐには,
$ memcached -l IPアドレス
IPアドレスに
$ memcached -l 192.168.x.x
などとします。ListenしているIPアドレスを確認するには,
$ sudo netstat -nlp | grep memcached tcp 0 0 192.168.67.254:11211 0.0.0.0:* LISTEN 16166/memcached udp 0 0 192.168.67.254:11211 0.0.0.0:* 16166/memcached
tcp,
ただし, -l オプションにはIPアドレスを1つしか指定できないので,
SASL
クラウド環境など,
SASLを使用するには,
$ ./configure --enable-sasl
また,
不必要なデータをキャッシュしない
限られたネットワークにmemcachedを設置し,
とくに筆者が注意すべきだと考えるのはO/