Domyślne ustawienia serwerów Redis oraz Memcached, pozwalają na nieuprawniony odczyt danych z nich. Przy czym wystarczy tylko znać ich adres ip. Poniższa konfiguracja stanowczo zwiększy ich bezpieczeństwo.
Firewall
*Zalecane jest wydzielenie odzielnnego serwera do którego dostęp sieciowy z zewnątrz byłby zablokowany
Bezpieczną komunikacje zaczniemy od poprawnego ustawienia blokady połączeń na firewallu:
firewall-cmd --new-zone=web --permanent
firewall-cmd --reload
firewall-cmd --permanent --zone=web --add-source=<ip_serwera_web1>
firewall-cmd --permanent --zone=web --add-source=<ip_serwera_web1>
firewall-cmd --permanent --zone=web --add-port=11211/tcp
firewall-cmd --permanent --zone=web --add-port=6379/tcp
firewall-cmd --reload
Memcached
W samych ustawieniach memcached należy, wyłaczyć obsługę protokołu UDP oraz ustawić nasłuchiwanie na danym (z sieci wewnętrznej) adresie IP.
/etc/sysconfig/memcached
OPTIONS="-l ip_serwera_cache -I 10M -U 0>> /var/log/memcached.log 2>&1"
Po wszystkim restartujemy usługę:
systemctl restart memcached
Redis
W samej konfiguracji redis-a dodajemy logowanie z użyciem hasła oraz nasłuchiwanie na konkretnym adresie IP:
/etc/redis.conf
Requirepass <haslo>
bind <ip_serwera_cache>
Po wszystkim restartujemy usługę:
systemctl restart redis
*Dodatkowo należy przeprowadzić weryfikację możliwości zalogowania po przez :
redis-cli -h <ip_serwera_web1>
AUTH <haslo>
KEYS *
Komentarze