Schweizer Käse

Um eine Defragmentierung der Hauptspeicher zu verhindern, setzen die Daemon einen Slab Allocator [6] zur Speicherverwaltung ein. Dieses Verfahren ist darauf spezialisiert, häufig kleine Speicherbereiche zu reservieren und wieder freizugeben. Im Fall von Memcached bedeutet klein maximal 1 MByte, größere Datenmengen nimmt ein Daemon gar nicht erst an. Wer mehr speichern möchte, muss die Daten entweder auf mehrere Schlüssel aufteilen oder ein anderes Caching-System verwenden.

Anarchie

Memcached verschwendet keinerlei Gedanken an seine eigene Sicherheit. Die Clients müssen sich noch nicht einmal gegenüber einem Daemon authentifizieren. Jeder, der Zugriff auf das Netz besitzt, darf ungeniert und unbehelligt den Cache anzapfen. Weiß ein Angreifer beispielsweise, dass die Benutzernamen als Schlüssel dienen, so muss er nur systematisch alle Daemons nach ihm bekannten Namen befragen. Abhilfe schaffen hier möglichst kryptische Schlüssel. Um solche zu erhalten, könnte man beispielsweise den Benutzernamen schon in der eigenen Anwendung durch eine Hashfunktion laufen lassen und dann das Ergebnis als Schlüssel verwenden. Grundsätzlich sollte man sämtliche Kontodaten nach Gebrauch wieder aus dem Cache löschen, die Lebenszeit aller gespeicherten Daten begrenzen und unbedingt weitere Sicherheitsmaßnahmen einleiten. Hierzu gehört an erster Stelle eine Firewall, die den Rechnerverbund von der Außenwelt abschirmt.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022