Een open Memcache-service kan worden misbruikt als reflector in een zogenaamde Distributed Denial-of-Service (DDoS) aanval.
In dit artikel laten wij je zien hoe je toegang tot de Memcache-service op je VPS beperkt, of je Memcache-poort dichtzet.
Toegang tot de Memcache-service beperken
Je kunt de Memcache-service zodanig configureren dat je enkel vanaf je eigen VPS er gebruik van kunt maken.
Stap 1
Verbind met je VPS via SSH, of de VPS-console en gebruik het volgende commando:
nano /etc/memcached.conf
Stap 2
Scroll naar onderen in het bestand en zoek naar het stukje code hieronder:
-l 123.123.123.123123.123.123.123 is hier je ingestelde IP. Verander dit naar het onderstaande, of voeg dit toe als het nog niet bestaat:
-l 127.0.0.1Memcache toegang beperken tot specifieke IP's
In plaats van de toegang te beperken tot enkel je VPS, zijn er twee alternatieven die je kunt gebruiken als je met een andere VPS gebruik wil maken van de Memcache-service op je VPS:
- Je kunt een private netwerk gebruiken om de betreffende VPS'en in op te nemen. Sluit in dat geval wel de publieke UDP poort 11211 op je publieke netwerkinterface.
- Geef enkel specifieke IP-adressen toegang. Dit doe je als volgt voor FirewallD, UFW en Iptables:
FirewallD (CentOS, Plesk, cPanel, DirectAdmin)
Stap 1
Sluit UDP poort met het commando:
firewall-cmd --zone=public --remove-port=11211/udp Gebruik je een Plesk-VPS vervang dan --zone=public door --zone=plesk (ook in stap 2)
Stap 2
Met onderstaande commando's maak je een uitzondering voor je eigen IP adres zodat enkel je eigen IP kan verbinden op poort 11211.
sudo firewall-cmd --permanent --zone=public --add-rich-rule='
rule family="ïpv4"
source address="123.123.123.123"
port protocol="udp" port="11211" accept'Vervang 123.123.123.123 door je daadwerkelijke IP-adres. Je kunt deze stappen herhalen om meer IP's toegang te geven.
Stap 3
Herstart je firewall:
sudo firewall-cmd --reload
UFW (Debian / Ubuntu)
Stap 1
Sluit UDP poort 11211 met het commando:
ufw deny 11211/udp
Stap 2
Met onderstaande commando's maak je een uitzondering voor je eigen IP adres zodat enkel je eigen IP kan verbinden op poort 11211.
ufw deny from 123.123.123.123 to any port 11211 proto udpVervang 123.123.123.123 door je daadwerkelijke IP adres. Je kunt deze stappen herhalen om meer IP's toegang te geven.
Iptables
Stap 1
Sluit UDP poort 11211 met het commando:
iptables -A INPUT -p udp --dport 11211 -j DROP
Stap 2
Met onderstaande commando's maak je een uitzondering voor je eigen IP adres zodat enkel je eigen IP kan verbinden op poort 11211.
iptables -I INPUT -p udp -s 123.123.123.123 --dport 11211 -j ACCEPTVervang 123.123.123.123 door je daadwerkelijke IP adres. Je kunt deze stappen herhalen om meer IP's toegang te geven.
Stap 3
Herstart je firewall:
iptables-save | sudo tee /etc/sysconfig/iptables
service iptables restart