保障Linux应用安全是构建纵深防御体系不可或缺的重要部分，而提到与网站相关的应用安全保障，就不得不提数据库和公有云安全，本文聚焦在缓存服务器、Key-Value数据库和MySQL这一关系型数据库的安全设置。

Memcached安全

Memcached是流行的NoSQL缓存软件，广泛用于网站系统中，作为后端数据库的缓存和存储Session会话信息等。在实践中，我们一般从以下几个方面来保障Memcached的安全：

Redis安全

Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存也可持久化的Key-Value数据库，并提供多种语言的API。它被广泛用于缓存、消息中间件，也经常作为持久化的数据库使用。

根据知名安全公司Incapsula研究表明，75%在公网上开放的Redis服务器都受到了RedisWannaMine攻击。为了预防类似的攻击，在实践中，我们一般从以下几个方面来保障Redis的安全：

rename-command FLUSHALL "" 
rename-command FLUSHDB "" 
rename-command CONFIG "" 
rename-command KEYS ""

requirepass QUeFbmudgkNn

数据库服务器上存储了应用程序记录的核心数据，保障数据库安全，我们一般可以从以下方面进行：

将MySQL部署在仅有内网IP的服务器上，避免对公网开放。这将极大的缩减攻击面。
为MySQL服务器配置精细化的防火墙iptables设置，仅允许前端Web服务器和应用服务器来调用，避免对整个局域网网段开放。CVE-2012-2122中指出，在某些特定版本MySQL的sql/password.c中存在漏洞，在某些特定运行环境中会导致远程攻击者可以通过多次重复尝试同一个错误密码而有概率性的绕过认证机制。如果没有网络层的防护，这将是造成非常严重的信息泄露；而通过精细化的访问控制则可以有效的解决这个问题。
服务降权。专门设置一个独立的普通用户，例如使用mysql这一用户来启动数据库进程。
删除安装后的测试数据库。在MySQL中，数据库初始安装完成后，会生成一个test库。直接删除即可。
检查数据库的密码。通过如下的语句，我们可以检查出没有配置密码的帐号：

select User,Host,Pasword from mysql.user where Password='';

数据库授权。
1）采用权限最小化原则，对应用程序使用分级授权。对于只需要读的帐号，仅仅授予“SELECT”权限。
2）对数据库来说，我们希望客户端过来的连接都是安全的，因此，就很有必要在创建用户的时候同时指定可以进行连接的服务器IP，只有符合授权的IP才可以进行数据库的访问。数据库授权时，精确到主机，不允许在grant命令中对所有主机授权。

通过定期备份来避免数据库误操作或者黑客入侵导致的数据丢失。常用的备份工具包括Oracle MySQL mysqldump和Percona XtraBackup for MySQL等。

随着越来越多的企业把业务迁移到公有云上，这些云上业务对WAF的需求也越来越大。因此，公有云服务商也逐步推出了云WAF的服务。如图8-7所示为国内某公有云厂商提供的针对中小规模网站的云WAF解决方案所具备的规格能力：

图8-7 国内某云WAF服务能力规格图

云WAF的优点有：

部署简单，维护成本低：这也是云WAF最有价值和受用户喜爱的一点，无需安装任何软件或者部署任何硬件设备，只需修改DNS即可将网站部署到云WAF的防护范围之内。
用户无需更新：云WAF的防护规则都处于云端，新漏洞爆发时，由云端负责规则的更新和维护，用户无需担心因为疏忽导致受到新型的漏洞攻击。
可充当CDN：云WAF在提供防护功能的同时，还同时具有CDN的功能，在进行防护的同时还可以提高网站访问的速率，CDN通过跨运营商的多线智能解析调度将静态资源动态负载到全国的云节点，用户访问某个资源时会被引导至最近的云端节点从而提高访问速度。

基于以上的分析，我们建议，对于已经使用了公有云部署服务的企业来说，可以考虑使用云WAF作为应用防护方案。