English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Bảo mật liên quan đến memcache  XML
  [Discussion]   Bảo mật liên quan đến memcache 28/01/2011 15:18:35 (+0700) | #1 | 230488
[Avatar]
 akaiito
Member
[Minus]    0    [Plus]
Joined: 31/12/2010 08:53:58
Messages: 21
Offline
[Profile] [PM] [Yahoo!]
Chào mọi người , mình vừa tìm hiểu và install xong memcache .

Memcached is a general-purpose distributed memory caching system that was originally developed by Danga Interactive for LiveJournal, but is now used by many other sites. It is often used to speed up dynamic database-driven websites by caching data and objects in RAM to reduce the number of times an external data source (such as a database or API) must be read. Memcached runs on Unix, Windows and MacOS and is distributed under a permissive free software license . 


Nhưng có điều mình băn khoăn là khi store value vào memcache và client cấu hình kết nối đến memcache server chỉ cần điền IP và Port . vậy nếu
  • Kẻ ở host khác kết nối đến server memcache của mình khai thác dữ liệu cache đó
  • Kẻ ở cùng server rồi kết nối đến server memcache của mình khai thác dữ liệu đó hoặc dùng chùa tài
  • nguyên (memcache lưu trữ dữ liệu)
  • Nạp ồ ạt data vào memcache server của mình làm cho nó chậm đi

...
vậy hi vọng mọi người cùng thảo luận .
[Up] [Print Copy]
  [Discussion]   Bảo mật liên quan đến memcache 28/01/2011 16:24:23 (+0700) | #2 | 230490
[Avatar]
 freakmind
Member
[Minus]    0    [Plus]
Joined: 26/11/2007 02:53:23
Messages: 79
Offline
[Profile] [PM]
Mình chưa có kinh nghiệm thực tế về memcached không dám chắc chắn, nhưng có vài điểm cần nói:
-Bạn đã share hay ké rồi thì ai cho bạn quyền để cài và thiết lập memcached vào server chung?
-Memcached dùng cho những server cần scalability cao , hầu hết là đứng độc lập, và có lượng access lớn như mixi, fb..., nên việc bạn share host, ké server thì chứng tỏ cái site của bạn cũng ở mức trung bình thấp thôi, có ké hay share để ăn ké memcache của thằng bên cạnh thì ... tốc độ chả thay đổi mấy smilie
-Bạn nạp vào cái cache nhiều data, nhưng cái thằng share với bạn nó... không dùng memcached thì sao smilie

[Up] [Print Copy]
  [Discussion]   Bảo mật liên quan đến memcache 28/01/2011 17:06:37 (+0700) | #3 | 230494
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

akaiito wrote:

Nhưng có điều mình băn khoăn là khi store value vào memcache và client cấu hình kết nối đến memcache server chỉ cần điền IP và Port . vậy nếu
  • Kẻ ở host khác kết nối đến server memcache của mình khai thác dữ liệu cache đó

 

Bạn có thể dùng iptables để chặn.

akaiito wrote:

  • Kẻ ở cùng server rồi kết nối đến server memcache của mình khai thác dữ liệu đó hoặc dùng chùa tài
  • nguyên (memcache lưu trữ dữ liệu)
  • Nạp ồ ạt data vào memcache server của mình làm cho nó chậm đi

...
 

Bạn thử SASL xem.
Let's build on a great foundation!
[Up] [Print Copy]
  [Discussion]   Bảo mật liên quan đến memcache 28/01/2011 19:27:35 (+0700) | #4 | 230497
[Avatar]
 akaiito
Member
[Minus]    0    [Plus]
Joined: 31/12/2010 08:53:58
Messages: 21
Offline
[Profile] [PM] [Yahoo!]

freakmind wrote:
Mình chưa có kinh nghiệm thực tế về memcached không dám chắc chắn, nhưng có vài điểm cần nói:
-Bạn đã share hay ké rồi thì ai cho bạn quyền để cài và thiết lập memcached vào server chung?
-Memcached dùng cho những server cần scalability cao , hầu hết là đứng độc lập, và có lượng access lớn như mixi, fb..., nên việc bạn share host, ké server thì chứng tỏ cái site của bạn cũng ở mức trung bình thấp thôi, có ké hay share để ăn ké memcache của thằng bên cạnh thì ... tốc độ chả thay đổi mấy smilie
-Bạn nạp vào cái cache nhiều data, nhưng cái thằng share với bạn nó... không dùng memcached thì sao smilie

 


cám ơn bạn nhưng mà hình như hơi có tí hiểu lầm . mình có 1 server để làm memcache server , 1 server chạy web của mình . cái memcache client từ web server kết nối đến memache server . vấn đề mình lo ngại là từ client (memcache client - ở đây là trên cái webserver) connect đến memcache server không qua bước authentication nào cả mà chỉ cần kết nối là xong .
nếu như :
Kẻ ở máy chủ khác (hoặc host khác) là memcache client kết nối đến memache server của mình . đầu tiên là có thể khai thác dữ liệu trên memcache server của mình . thứ 2 là nếu có nhiều memcache client không phải của mình kết nối và khai thác memcache server của mình (từ nhiều server khác) sẽ làm chậm cái memcache server của mình . hoặc làm abcxyz gì đó gây ảnh hưởng đến memcache server của mình .

không lẽ edit code memcache cho thêm phần authentication vô xong build lại smilie smilie chắc là người ta cũng có cách xử lí rồi chứ chẳng lẽ lâu thế rồi mà smilie

liệu có cuộc d.dos memcache server nào không nhỉ smilie

---------- Update

quanta wrote:

Bạn có thể dùng iptables để chặn.
Bạn thử SASL xem.
 

cám ơn quanta. mình đang xem thử iptables và SASL .

sau khi lên google tìm kiếm có thấy SASLAuthProtocol - SASL Authentication for Memcached

http://code.google.com/p/memcached/wiki/SASLAuthProtocol

Theo mình hiểu hiện tại là nôm na cái SASL kết hợp với Memcached , memcached client cũng có nhiều thư viện đã có sẵn

Code:
$m = new Memcached(NULL);
$m->setSaslData("username", "password");
$m->setOption(Memcached::OPT_BINARY_PROTOCOL, 1);
$m->addServer('127.0.0.1', 11211);


đây là 1 ví dụ trên php

để install authentication cho memached
Code:
saslpasswd2 -a memcached -c cacheuser
[Up] [Print Copy]
  [Discussion]   Bảo mật liên quan đến memcache 28/01/2011 21:12:53 (+0700) | #5 | 230511
[Avatar]
 freakmind
Member
[Minus]    0    [Plus]
Joined: 26/11/2007 02:53:23
Messages: 79
Offline
[Profile] [PM]
Có lẽ mình đã hiểu nhầm ý bạn, để qua tuần sau mình lên lab thử cài memcache vào nghịch xem rồi sẽ vào trao đổi tiếp smilie
[Up] [Print Copy]
  [Discussion]   Bảo mật liên quan đến memcache 01/02/2011 16:57:16 (+0700) | #6 | 230713
[Avatar]
 freakmind
Member
[Minus]    0    [Plus]
Joined: 26/11/2007 02:53:23
Messages: 79
Offline
[Profile] [PM]
Hôm này vừa thử nghịch memcache, đúng là nó không có cơ chế bảo mật nào cả. Bản thân memcache không có nghĩa vụ bảo mật mà người dùng phài tự thiết lập cơ chế bảo mật riêng.
Đây là vài dòng mình đọc được:

Is memcached secure?

Access to memcached is not protected by a username and password, neither is the data within it. So while access control does not exist natively for memcached, simple things can be done to harden your instance of memcached to make it secure:

* Prevent external access - Deploy memcached behind your firewall and only allow machines from within a specific network to access to the cache.
* Encrypt the data you store in the cache – I personally feel like this is overkill because for most applications it adds an extra hoop to jump through every single time you visit the cache. But for the hyper-paranoid that work in shared environments, I suppose this is something worth considering.
* Choose obscure keys – there is no way for a user to query memcached for a list of keys, therefore the only way for someone to retrieve information stored there is if they know the key for the corresponding information. Therefore, if your keys have predictable names then it would be relatively easy for someone to guess them. So make your keys somewhat obscure. Consider creating a simple key like “object:10032” and then generate a sha1 hash of it. This will create a very obscure key name while using a very standard, easy to remember key naming scheme of your choosing.

So is memcached secure? Well, while it does not have built in security features, it can easily be made secure.
 
[Up] [Print Copy]
  [Discussion]   Bảo mật liên quan đến memcache 01/02/2011 17:06:25 (+0700) | #7 | 230714
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Không bao giờ expose memcached server ra Internet.

Không bao giờ cho phép các connection đến memcached server nếu như connection ấy không phải đi từ một dịch vụ web hẳn hòi từ 1 (hoặc nhiều) trusted IP.

Nếu memcached server được dấu kín bên trong thì không có cách gì DDoS nó trực tiếp được. Chỉ có thể DDoS nó gián tiếp nhưng làm như vậy không có mấy tác dụng bởi vì có chết thì web front end chết trước.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Bảo mật liên quan đến memcache 02/02/2011 09:34:39 (+0700) | #8 | 230727
[Avatar]
 akaiito
Member
[Minus]    0    [Plus]
Joined: 31/12/2010 08:53:58
Messages: 21
Offline
[Profile] [PM] [Yahoo!]
hôm trước hì hục cả ngày để cài memcache / hôm nay hì hục disabled tạm nó đi >"<

chắc thử xong SASLAuthProtocol - SASL Authentication for Memcached mới dám dùng thật T_T
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|