禁用AMQP配置中的明文身份验证机制--漏洞解决方法

作者:神秘网友 发布时间:2020-10-07 13:22:31

禁用AMQP配置中的明文身份验证机制--漏洞解决方法

禁用AMQP配置中的明文身份验证机制--漏洞解决方法

RABBITMQ漏洞描述:

远程高级消息队列协议(AMQP)服务支持一种或多种允许以明文形式发送凭据的身份验证机制。

修改建议:

禁用AMQP配置中的明文身份验证机制。

具体操作:

1.查看mq环境

rabbitmqctl environment

禁用AMQP配置中的明文身份验证机制--漏洞解决方法

可看到, auth_mechanisms默认的配置为PLAIN和AMQPLAIN。

2.修改mq配置文件

配置文件位置:

本文 Ubuntu 配置文件在 /etc/rabbitmq/rabbitmq.conf  目录。

[{rabbit, [{loopback_users, []},

{auth_mechanisms,['EXTERNAL']}

]}].

3.重启服务

systemctl restart rabbitmq-server.service

4.查看环境

禁用AMQP配置中的明文身份验证机制--漏洞解决方法

问题解决。

nessus扫描结果

禁用AMQP配置中的明文身份验证机制--漏洞解决方法

 

补充知识:

RabbitMQ具有对各种SASL认证机制的可插拔支持。服务器内置了三种这样的机制:PLAIN,AMQPLAIN和RABBIT-CR-DEMO,以及EXTERNAL 可作为插件使用。您还可以通过 在插件中实现rabbit_auth_mechanism行为来实现自己的身份验证机制。有关常规插件开发的更多信息,请参阅插件开发指南。默认的配置为PLAIN和AMQPLAIN。
内置的机制:

  • PLAIN:这在RabbitMQ服务器和客户端默认启用,并且是大多数其他客户端的默认设置。
  • AMQPLAIN:由AMQP 0-8规范定义的PLAIN的非标准版本。这是在RabbitMQ服务器中默认启用的,并且是QPid的Python客户端的默认设置。
  • EXTERNAL:使用x509证书对等验证,客户端IP地址范围或类似的带外机制进行身份验证。这种机制通常由RabbitMQ插件提供。
  • RABBIT-CR-DEMO:机制具有与PLAIN相同的安全性,在RabbitMQ服务器中未默认启用。


作者:yanshaowen
链接:https://www.jianshu.com/p/294e0fde0676
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

禁用AMQP配置中的明文身份验证机制--漏洞解决方法相关教程

  1. Drupal安装配置文档(二)

    Drupal安装配置文档(二) 3.1 整体界面规划内容分布 主要内容如导航所示 导航:首页公共信息论坛内部应用关于倍儿悦 公共信息用来存放公司的公共文档,包括人事行政IT等公共资料; 论坛用作公司内部交流使用,分公共论坛技术论坛项目论坛内部论坛; 内部应

  2. kubernetes集群pod双网卡配置

    kubernetes集群pod双网卡配置 kubernetes集群中创建pod,默认只能使用一张网卡,但是在某些情况下(实现容器路由功能)单网卡不能满足实验需求。multus-cni提供了将多个接口添加到Pod的功能,这允许POD通过不同的接口连接到多个网络,并且每个接口都将使用其

  3. JAVA学习笔记(1)Ubuntu下环境配置和安装Eclipse

    JAVA学习笔记(1)Ubuntu下环境配置和安装Eclipse 安装JDK Oracle 公司为 Linux 、 Mac OS X 、 Solaris 和 Windows 提供了 Java 开发工具包 ( JDK ) 的最新 、 最完整的版本 。 用于很多其他平台的版本仍处于多种不同的开发状态中, 不过 , 这些版本都由相应

  4. Spring 中基于XML配置的AOP

    Spring 中基于XML配置的AOP Spring 中基于XML配置的AOP 定义好目标对象 , 注册到Spring容器中 定义好增强对象, 注册到Spring容器中 通过XML进行 AOP 的 织入过程的配置: !--将包含增强逻辑的类(增强类) 注册到Spring容器中-- bean id=myAdvice class=com

  5. IDEA的安装、IDEA的首次配置、IDEA的联网配置

    IDEA的安装、IDEA的首次配置、IDEA的联网配置 #idea安装 注意:机器内存应至少为8G才能正常使用。 1.双击打开在idea官网下载好的压缩包 2. 3. 4. 5. 6. idea的破解自行在网上找即可 #IDEA的首次配置 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. #1.4

  6. 二进制搭建kubernetes多master集群【配置k8s master及高可用】

    二进制搭建kubernetes多master集群【配置k8s master及高可用】 文章目录 一:master2部署 二:k8s负载均衡部署实现高可用 2.1:nginx01、nginx02安装nginx服务 2.2:配置nginx部署keepalived服务 2.3:创建监控脚本并启动服务 2.4:查看nginx01漂移地址 2.5:

  7. CUBE配置STM32H750、Lan8720、FreeRTOS、lwip、掉线重连、KeepAl

    CUBE配置STM32H750、Lan8720、FreeRTOS、lwip、掉线重连、KeepAlive移植 CUBE配置STM32H750、Lan8720、FreeRTOS、lwip、掉线重连、KeepAlive移植 2020年10月6日 目录 CUBE配置STM32H750、Lan8720、FreeRTOS、lwip、掉线重连、KeepAlive移植 1.CubeMX配置 1.1

  8. Zhi-nginx配置ssl证书

    Zhi-nginx配置ssl证书 Nginx 使用Nginx配置HTTPS域名证书 使用Nginx配置HTTPS域名证书 1.查看nginx是否有nginx模块 方法1:./nginx -V 方法2:cd objs/ vim ngx_modules.c 查找ssl 如果没有:重新编译配置文件 ./configure \--prefix=/usr/local/nginx \--pid