[Discussion] Bảo mật liên quan đến memcache |
28/01/2011 15:18:35 (+0700) | #1 | 230488 |
|
akaiito
Member
|
0 |
|
|
Joined: 31/12/2010 08:53:58
Messages: 21
Offline
|
|
Chào mọi người , mình vừa tìm hiểu và install xong memcache .
Memcached is a general-purpose distributed memory caching system that was originally developed by Danga Interactive for LiveJournal, but is now used by many other sites. It is often used to speed up dynamic database-driven websites by caching data and objects in RAM to reduce the number of times an external data source (such as a database or API) must be read. Memcached runs on Unix, Windows and MacOS and is distributed under a permissive free software license .
Nhưng có điều mình băn khoăn là khi store value vào memcache và client cấu hình kết nối đến memcache server chỉ cần điền IP và Port . vậy nếu
- Kẻ ở host khác kết nối đến server memcache của mình khai thác dữ liệu cache đó
- Kẻ ở cùng server rồi kết nối đến server memcache của mình khai thác dữ liệu đó hoặc dùng chùa tài
- nguyên (memcache lưu trữ dữ liệu)
- Nạp ồ ạt data vào memcache server của mình làm cho nó chậm đi
...
vậy hi vọng mọi người cùng thảo luận . |
|
|
|
|
[Discussion] Bảo mật liên quan đến memcache |
28/01/2011 16:24:23 (+0700) | #2 | 230490 |
|
freakmind
Member
|
0 |
|
|
Joined: 26/11/2007 02:53:23
Messages: 79
Offline
|
|
Mình chưa có kinh nghiệm thực tế về memcached không dám chắc chắn, nhưng có vài điểm cần nói:
-Bạn đã share hay ké rồi thì ai cho bạn quyền để cài và thiết lập memcached vào server chung?
-Memcached dùng cho những server cần scalability cao , hầu hết là đứng độc lập, và có lượng access lớn như mixi, fb..., nên việc bạn share host, ké server thì chứng tỏ cái site của bạn cũng ở mức trung bình thấp thôi, có ké hay share để ăn ké memcache của thằng bên cạnh thì ... tốc độ chả thay đổi mấy
-Bạn nạp vào cái cache nhiều data, nhưng cái thằng share với bạn nó... không dùng memcached thì sao
|
|
|
|
|
[Discussion] Bảo mật liên quan đến memcache |
28/01/2011 17:06:37 (+0700) | #3 | 230494 |
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
akaiito wrote:
Nhưng có điều mình băn khoăn là khi store value vào memcache và client cấu hình kết nối đến memcache server chỉ cần điền IP và Port . vậy nếu
- Kẻ ở host khác kết nối đến server memcache của mình khai thác dữ liệu cache đó
Bạn có thể dùng iptables để chặn.
akaiito wrote:
- Kẻ ở cùng server rồi kết nối đến server memcache của mình khai thác dữ liệu đó hoặc dùng chùa tài
- nguyên (memcache lưu trữ dữ liệu)
- Nạp ồ ạt data vào memcache server của mình làm cho nó chậm đi
...
Bạn thử SASL xem. |
|
Let's build on a great foundation! |
|
|
|
[Discussion] Bảo mật liên quan đến memcache |
28/01/2011 19:27:35 (+0700) | #4 | 230497 |
|
akaiito
Member
|
0 |
|
|
Joined: 31/12/2010 08:53:58
Messages: 21
Offline
|
|
freakmind wrote:
Mình chưa có kinh nghiệm thực tế về memcached không dám chắc chắn, nhưng có vài điểm cần nói:
-Bạn đã share hay ké rồi thì ai cho bạn quyền để cài và thiết lập memcached vào server chung?
-Memcached dùng cho những server cần scalability cao , hầu hết là đứng độc lập, và có lượng access lớn như mixi, fb..., nên việc bạn share host, ké server thì chứng tỏ cái site của bạn cũng ở mức trung bình thấp thôi, có ké hay share để ăn ké memcache của thằng bên cạnh thì ... tốc độ chả thay đổi mấy
-Bạn nạp vào cái cache nhiều data, nhưng cái thằng share với bạn nó... không dùng memcached thì sao
cám ơn bạn nhưng mà hình như hơi có tí hiểu lầm . mình có 1 server để làm memcache server , 1 server chạy web của mình . cái memcache client từ web server kết nối đến memache server . vấn đề mình lo ngại là từ client (memcache client - ở đây là trên cái webserver) connect đến memcache server không qua bước authentication nào cả mà chỉ cần kết nối là xong .
nếu như :
Kẻ ở máy chủ khác (hoặc host khác) là memcache client kết nối đến memache server của mình . đầu tiên là có thể khai thác dữ liệu trên memcache server của mình . thứ 2 là nếu có nhiều memcache client không phải của mình kết nối và khai thác memcache server của mình (từ nhiều server khác) sẽ làm chậm cái memcache server của mình . hoặc làm abcxyz gì đó gây ảnh hưởng đến memcache server của mình .
không lẽ edit code memcache cho thêm phần authentication vô xong build lại chắc là người ta cũng có cách xử lí rồi chứ chẳng lẽ lâu thế rồi mà
liệu có cuộc d.dos memcache server nào không nhỉ
---------- Update
quanta wrote:
Bạn có thể dùng iptables để chặn.
Bạn thử SASL xem.
cám ơn quanta. mình đang xem thử iptables và SASL .
sau khi lên google tìm kiếm có thấy SASLAuthProtocol - SASL Authentication for Memcached
http://code.google.com/p/memcached/wiki/SASLAuthProtocol
Theo mình hiểu hiện tại là nôm na cái SASL kết hợp với Memcached , memcached client cũng có nhiều thư viện đã có sẵn
Code:
$m = new Memcached(NULL);
$m->setSaslData("username", "password");
$m->setOption(Memcached::OPT_BINARY_PROTOCOL, 1);
$m->addServer('127.0.0.1', 11211);
đây là 1 ví dụ trên php
để install authentication cho memached
Code:
saslpasswd2 -a memcached -c cacheuser
|
|
|
|
|
[Discussion] Bảo mật liên quan đến memcache |
28/01/2011 21:12:53 (+0700) | #5 | 230511 |
|
freakmind
Member
|
0 |
|
|
Joined: 26/11/2007 02:53:23
Messages: 79
Offline
|
|
Có lẽ mình đã hiểu nhầm ý bạn, để qua tuần sau mình lên lab thử cài memcache vào nghịch xem rồi sẽ vào trao đổi tiếp |
|
|
|
|
[Discussion] Bảo mật liên quan đến memcache |
01/02/2011 16:57:16 (+0700) | #6 | 230713 |
|
freakmind
Member
|
0 |
|
|
Joined: 26/11/2007 02:53:23
Messages: 79
Offline
|
|
Hôm này vừa thử nghịch memcache, đúng là nó không có cơ chế bảo mật nào cả. Bản thân memcache không có nghĩa vụ bảo mật mà người dùng phài tự thiết lập cơ chế bảo mật riêng.
Đây là vài dòng mình đọc được:
Is memcached secure?
Access to memcached is not protected by a username and password, neither is the data within it. So while access control does not exist natively for memcached, simple things can be done to harden your instance of memcached to make it secure:
* Prevent external access - Deploy memcached behind your firewall and only allow machines from within a specific network to access to the cache.
* Encrypt the data you store in the cache – I personally feel like this is overkill because for most applications it adds an extra hoop to jump through every single time you visit the cache. But for the hyper-paranoid that work in shared environments, I suppose this is something worth considering.
* Choose obscure keys – there is no way for a user to query memcached for a list of keys, therefore the only way for someone to retrieve information stored there is if they know the key for the corresponding information. Therefore, if your keys have predictable names then it would be relatively easy for someone to guess them. So make your keys somewhat obscure. Consider creating a simple key like “object:10032” and then generate a sha1 hash of it. This will create a very obscure key name while using a very standard, easy to remember key naming scheme of your choosing.
So is memcached secure? Well, while it does not have built in security features, it can easily be made secure.
|
|
|
|
|
[Discussion] Bảo mật liên quan đến memcache |
01/02/2011 17:06:25 (+0700) | #7 | 230714 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Không bao giờ expose memcached server ra Internet.
Không bao giờ cho phép các connection đến memcached server nếu như connection ấy không phải đi từ một dịch vụ web hẳn hòi từ 1 (hoặc nhiều) trusted IP.
Nếu memcached server được dấu kín bên trong thì không có cách gì DDoS nó trực tiếp được. Chỉ có thể DDoS nó gián tiếp nhưng làm như vậy không có mấy tác dụng bởi vì có chết thì web front end chết trước. |
|
What bringing us together is stronger than what pulling us apart. |
|
[Discussion] Bảo mật liên quan đến memcache |
02/02/2011 09:34:39 (+0700) | #8 | 230727 |
|
akaiito
Member
|
0 |
|
|
Joined: 31/12/2010 08:53:58
Messages: 21
Offline
|
|
hôm trước hì hục cả ngày để cài memcache / hôm nay hì hục disabled tạm nó đi >"<
chắc thử xong SASLAuthProtocol - SASL Authentication for Memcached mới dám dùng thật T_T |
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|