Red Hat Training
A Red Hat training course is available for RHEL 8
11.7. Memcached サービスのセキュリティー保護
Memcached は、オープンソースの高性能分散メモリーオブジェクトキャッシングシステムです。データベースの負荷を軽減して、動的 Web アプリケーションのパフォーマンスを向上させることができます。
Memcached は、データベース呼び出し、API 呼び出し、またはページレンダリングの結果から、文字列やオブジェクトなどの任意のデータの小さなチャンクを格納するメモリー内のキーと値のストアです。Memcached を使用すると、十分に活用されていない領域から、より多くのメモリーを必要とするアプリケーションにメモリーを割り当てることができます。
2018 年に、パブリックインターネットに公開されている Memcached サーバーを悪用することによる DDoS 増幅攻撃の脆弱性が発見されました。これらの攻撃は、トランスポートに UDP プロトコルを使用する Memcached 通信を利用します。この攻撃は増幅率が高いため、効果的です。数百バイトのサイズの要求は、数メガバイトまたは数百メガバイトのサイズの応答を生成することができます。
ほとんどの場合、memcached サービスはパブリックインターネットに公開する必要はありません。このような弱点には、リモートの攻撃者が memcached に保存されている情報を漏洩または変更できるなど、独自のセキュリティー問題があります。
このセクションに従って、DDoS 攻撃の可能性に対して Memcached サービスを使用してシステムを強化します。
11.7.1. DDoS に対する Memcached の強化
セキュリティーリスクを軽減するために、以下の手順のうち、お使いの設定に該当するものをできるだけ多く実行してください。
手順
LAN にファイアウォールを設定してください。Memcached サーバーにローカルネットワークだけでアクセスできるようにする必要がある場合は、
memcachedサービスで使用されるポートに外部トラフィックをルーティングしないでください。たとえば、許可されたポートのリストからデフォルトのポート11211を削除します。# firewall-cmd --remove-port=11211/udp # firewall-cmd --runtime-to-permanent
アプリケーションと同じマシンで単一の memcached サーバーを使用する場合、ローカルホストトラフィックのみをリッスンするように
memcachedを設定します。/etc/sysconfig/memcachedファイルのOPTIONS値を変更します。OPTIONS="-l 127.0.0.1,::1"
Simple Authentication and Security Layer (SASL) 認証を有効にします。
/etc/sasl2/memcached.confファイルで、以下のように修正または追加します。sasldb_path: /path.to/memcached.sasldb
SASL データベースにアカウントを追加します。
# saslpasswd2 -a memcached -c cacheuser -f /path.to/memcached.sasldbmemcachedのユーザーとグループがデータベースにアクセスできることを確認します。# chown memcached:memcached /path.to/memcached.sasldb/etc/sysconfig/memcachedファイルのOPTIONSパラメーターに-S値を追加して、Memcached で SASL サポートを有効にします。OPTIONS="-S"
Memcached サーバーを再起動して、変更を適用します。
# systemctl restart memcached- SASL データベースで作成したユーザー名とパスワードを、お使いのアプリケーションの Memcached クライアント設定に追加します。
memcached クライアントとサーバー間の通信を TLS で暗号化します。
/etc/sysconfig/memcachedファイルのOPTIONSパラメーターに-Z値を追加して、TLS を使用した Memcached クライアントとサーバー間の暗号化通信を有効にします。OPTIONS="-Z"
-
-o ssl_chain_certオプションを使用して、証明書チェーンファイルパスを PEM 形式で追加します。 -
-o ssl_keyオプションを使用して、秘密鍵ファイルのパスを追加します。
