Ubuntu 16.04にMemcachedをインストールして保護する方法

前書き

Memcachedのようなメモリオブジェクトキャッシングシステムは、情報を一時的にメモリに保存し、頻繁にまたは最近要求されたレコードを保持することにより、バックエンドデータベースのパフォーマンスを最適化できます。 このようにして、データベースへの直接リクエストの数を減らします。

Memcachedなどのシステムは、不適切に構成されているとサービス拒否攻撃に寄与する可能性があるため、Memcachedサーバーを保護することが重要です。 このガイドでは、インストールをローカルまたはプライベートネットワークインターフェイスにバインドし、Memcachedインスタンスの承認済みユーザーを作成して、Memcachedサーバーを保護する方法について説明します。

前提条件

このチュートリアルでは、ルート以外のsudoユーザーと基本的なファイアウォールでサーバーがセットアップされていることを前提としています。 そうでない場合は、次を設定します。

  • Ubuntu 16.04サーバー1台。https://www.digitalocean.com/community/tutorials/initial-server-setup-with-ubuntu-16-04 [Ubuntu 16.04での初期サーバーセットアップチュートリアル]に従ってセットアップします。

これらの前提条件が整ったら、Memcachedサーバーをインストールして保護する準備が整います。

手順1-公式リポジトリからMemcachedをインストールする

サーバーにMemcachedがまだインストールされていない場合は、公式のUbuntuリポジトリからインストールできます。 まず、ローカルパッケージインデックスが更新されていることを確認します。

sudo apt-get update

次に、次のように公式パッケージをインストールします。

sudo apt-get install memcached

Memcachedサーバーで動作するいくつかのツールを提供するライブラリである `+ libmemcached-tools +`をインストールすることもできます。

sudo apt-get install libmemcached-tools

Memcachedは、接続をテストできるツールとともに、サーバーにサービスとしてインストールする必要があります。 これで、構成設定の保護に進むことができます。

ステップ2-Memcached構成設定の保護

Memcachedインスタンスがローカルインターフェース `+ 127.0.0.1 `でリッスンしていることを確認するには、 ` / etc / memcached.conf `にある設定ファイルのデフォルト設定を確認します。 UbuntuおよびDebianに同梱されている現在のバージョンのMemcachedには、ローカルインターフェースに設定された ` -l +`パラメーターがあり、ネットワークからのサービス拒否攻撃を防ぎます。 この設定を調べて、正しく設定されていることを確認できます。

`+ nano `で ` / etc / memcached.conf +`を開くことができます:

sudo nano /etc/memcached.conf

インターフェイス設定を調べるには、ファイル内で次の行を見つけます。

/etc/memcached.conf

. . .
-l 127.0.0.1

デフォルト設定の「+ -l 127.0.0.1+」が表示されている場合、この行を変更する必要はありません。 この設定をよりオープンに変更する場合は、サービス拒否攻撃で悪用される可能性が高いため、UDPを無効にすることもお勧めします。 (TCPに影響を与えずに)UDPを無効にするには、このファイルの最後に次のオプションを追加します。

/etc/memcached.conf

. . .

完了したら、ファイルを保存して閉じます。

Memcachedサービスを再起動して、変更を適用します。

sudo systemctl restart memcached

次のように入力して、Memcachedが現在ローカルインターフェイスにバインドされ、TCP接続のみをリッスンしていることを確認します。

sudo netstat -plunt

次のような出力が表示されるはずです。

OutputActive Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
. . .
       0      0 :11211         0.0.0.0:*               LISTEN      2383/
. . .

これにより、TCPのみを使用して、「+ memcached 」が「+127.0.0.1」アドレスにバインドされていることが確認されます。

ステップ3-許可ユーザーの追加

Memcachedサービスに認証済みユーザーを追加するために、認証手順をアプリケーションプロトコルから切り離すフレームワークであるSimple Authentication and Security Layer(SASL)を使用することができます。 Memcached構成ファイル内でSASLを有効にしてから、認証資格情報を持つユーザーの追加に進みます。

SASLサポートの構成

最初に、Memcachedインスタンスの接続性を `+ memcstat +`コマンドでテストできます。 これは、構成ファイルを変更した後、SASLおよびユーザー認証が有効になっていることを確認するのに役立ちます。

Memcachedが稼働していることを確認するには、次を入力します。

memcstat --servers="127.0.0.1"

次のような出力が表示されるはずです。

OutputServer: 127.0.0.1 (11211)
    pid: 3831
    uptime: 9
    time: 1520028517
    version: 1.4.25
    . . .

次に、SASLの有効化に進みます。 最初に、 `+ -S `パラメータを ` / etc / memcached.conf +`に追加します。 ファイルを再度開きます。

sudo nano /etc/memcached.conf

ファイルの最後に、次を追加します。

/etc/memcached.conf

. . .

次に、 `+ -vv `オプションを見つけてコメント解除します。これにより、詳細な出力が ` / var / log / memcached +`に提供されます。 コメントされていない行は次のようになります。

/etc/memcached.conf

. . .
-vv

ファイルを保存して閉じます。

Memcachedサービスを再起動します。

sudo systemctl restart memcached

次に、ログを見て、SASLサポートが有効になっていることを確認できます。

sudo journalctl -u memcached

SASLサポートが初期化されたことを示す次の行が表示されます。

Output. . .
Mar 02 22:03:58 memcached systemd-memcached-wrapper[2760]: Initialized SASL.
. . .

接続を再度確認できますが、SASLが初期化されているため、このコマンドは認証なしで失敗します。

memcstat --servers="127.0.0.1"

このコマンドは出力を生成しません。 次のように入力して、ステータスを確認できます。

echo $?

`+ $?`は、最後に終了したコマンドの終了コードを常に返します。 通常、「 0+」以外はすべてプロセスの失敗を示します。 この場合、 `+ 1 `の終了ステータスが表示されるはずです。これは、 ` memcstat +`コマンドが失敗したことを示しています。

認証済みユーザーの追加

これで、SASLユーザーデータベースの管理プログラムを含むパッケージ、「+ sasl2-bin +」をダウンロードできます。 これにより、認証済みユーザーを作成できます。

sudo apt-get install sasl2-bin

次に、MemcachedがSASL構成設定を確認するディレクトリとファイルを作成します。

sudo mkdir -p /etc/sasl2
sudo nano /etc/sasl2/memcached.conf

SASL構成ファイルに次を追加します。

/etc/sasl2/memcached.conf

mech_list: plain
log_level: 5
sasldb_path: /etc/sasl2/memcached-sasldb2

ロギングレベルを指定することに加えて、 `+ mech_list `を ` plain +`に設定します。これは、Memcachedに独自のパスワードファイルを使用してプレーンテキストパスワードを確認するように指示します。 また、次に作成するユーザーデータベースファイルへのパスも指定します。 完了したら、ファイルを保存して閉じます。

次に、ユーザー資格情報を使用してSASLデータベースを作成します。 `+ -c `オプションを使用して、データベースにユーザーの新しいエントリを作成するために、 ` saslpasswd2 `コマンドを使用します。 ここではユーザーは* sammy *になりますが、この名前を自分のユーザーに置き換えることができます。 ` -f `オプションを使用して、データベースへのパスを指定します。これは、 ` / etc / sasl2 / memcached.conf +`で設定したパスになります。

sudo saslpasswd2 -a memcached -c -f /etc/sasl2/memcached-sasldb2

最後に、SASLデータベースに対する `+ memcache +`ユーザーの所有権を付与します。

sudo chown memcache:memcache /etc/sasl2/memcached-sasldb2

Memcachedサービスを再起動します。

sudo systemctl restart memcached

`+ memcstat +`を再度実行すると、認証プロセスが機能したかどうかが確認されます。 今回は、認証資格情報を使用して実行します。

memcstat --servers="127.0.0.1" --username= --password=

次のような出力が表示されるはずです。

OutputServer: 127.0.0.1 (11211)
    pid: 3831
    uptime: 9
    time: 1520028517
    version: 1.4.25
    . . .

Memcachedサービスは、SASLサポートとユーザー認証で正常に実行されています。

手順4-プライベートネットワークを介したアクセスの許可(オプション)

Memcachedインターフェイスを外部の第三者にさらされないように保護することにより、サービス拒否攻撃を防ぐことができるローカルインターフェイスでリッスンするようにMemcachedを構成する方法について説明しました。 ただし、他のサーバーからのアクセスを許可する必要がある場合があります。 この場合、構成設定を調整して、Memcachedをプライベートネットワークインターフェイスにバインドできます。

ファイアウォールによるIPアクセスの制限

構成設定を調整する前に、Memcachedサーバーに接続できるマシンを制限するファイアウォールルールを設定することをお勧めします。 ファイアウォールルールを設定するには、*クライアントサーバーのプライベートIPアドレス*を知る必要があります。

  • UFW *ファイアウォールを使用している場合は、次を入力してMemcachedインスタンスへのアクセスを制限できます。

sudo ufw allow from /32 to any port 11211

UFWファイアウォールの詳細については、https://www.digitalocean.com/community/tutorials/ufw-essentials-common-firewall-rules-and-commands [ufw essentials guide]をご覧ください。

これらの変更を実施したら、Memcachedサービスを調整して、サーバーのプライベートネットワークインターフェースにバインドできます。

Memcachedをプライベートネットワークインターフェイスにバインドする

ファイアウォールが設置されたので、Memcached設定を調整して、「+ 127.0.0.1+」ではなく、サーバーのプライベートネットワークインターフェースにバインドできます。

次のように入力して、 `+ / etc / memcached.conf +`ファイルを再度開くことができます。

sudo nano /etc/memcached.conf

内部で、以前にチェックまたは変更した「+ -l 127.0.0.1+」行を見つけ、サーバーのプライベートネットワークインターフェイスに合わせてアドレスを変更します。

/etc/memcached.conf

. . .
-l
. . .

完了したら、ファイルを保存して閉じます。

次に、Memcachedサービスを再起動します。

sudo systemctl restart memcached

「+ netstat +」で新しい設定を確認して、変更を確認します。

sudo netstat -plunt
OutputActive Internet connections (only servers)
Proto Recv-Q Send-Q Local Address                              Foreign Address         State       PID/Program name
. . .
       0      0 :11211         0.0.0.0:*               LISTEN      2383/
. . .

外部クライアントからの接続をテストして、引き続きサービスにアクセスできることを確認します。 許可されていないクライアントからのアクセスも確認して、ファイアウォールルールが有効であることを確認することをお勧めします。

結論

このチュートリアルでは、ローカルまたはプライベートネットワークインターフェイスにバインドするように構成し、SASL認証を有効にすることにより、Memcachedサーバーを保護する方法を説明しました。

Memcachedの詳細については、https://memcached.org/about [project documentation]をご覧ください。 Memcachedの使用方法の詳細については、https://www.digitalocean.com/community/tutorials/how-to-install-and-use-memcache-on-ubuntu-14-04 [How To]のチュートリアルを参照してください。 Ubuntu 14.04でMemcacheをインストールして使用します]。

Related