activemq的服务安全性和控制台安全性配置

最新推荐文章于 2023-05-08 08:00:00 发布
最新推荐文章于 2023-05-08 08:00:00 发布
阅读量1.4k 收藏
点赞数
分类专栏: ActiveMQ移动端 文章标签: activemq

http://blog.csdn.net/technicallife/article/details/4340948


 ActiveMQ的安全性,主要表现在两个方面,一个是它的JMS服务的安全性,一个是它的管理控制台的安全性。在缺省情况下,ActiveMQ在这两个方面都是没有配置安全性的。大家想象一下如果没有安全机制,这将会引起什么样的后果。下文以最新的ActiveMQ5.2为例,详细描述如何配置的过程。

 

 

JMS服务安全性

      如果没有配置JMS服务的安全性,任何连入网络的人,只要知道ActiveMQ服务器的具体地址(包括IP地址,端口,消息地址[队列或者主题地址]),就可以肆无忌惮的发送、接收消息。那么要解决JMS服务的安全性,最关键的问题就是解决身份认证的问题。

1)增加plugin
<plugins>
    <!--use JAAS to authenticate using the login.config file on the classpath to configure JAAS -->
    <jaasAuthenticationPlugin configuration="activemq-domain" />
    <!--  lets configure a destination based authorization mechanism -->
    <authorizationPlugin>
        <map>
            <authorizationMap>
                <authorizationEntries>
                    <authorizationEntry queue=">" read="admins" write="admins" admin="admins" />
                    <authorizationEntry topic=">" read="admins" write="admins" admin="admins" />
                    <authorizationEntry queue="ActiveMQ.Advisory.>" read="admins" write="admins" admin="admins" />
                    <authorizationEntry topic="ActiveMQ.Advisory.>" read="admins" write="admins" admin="admins" />
                </authorizationEntries>
            </authorizationMap>
        </map>
    </authorizationPlugin>
</plugins>
2)在conf中增加login.config文件,内容如下:
    activemq-domain {
        org.apache.activemq.jaas.PropertiesLoginModule required
        debug=true
        org.apache.activemq.jaas.properties.user="users.properties"
        org.apache.activemq.jaas.properties.group="groups.properties";
    };
3)在conf中增加groups.properties文件,内容如下:
   admins=system
4)在conf中增加users.properties文件,内容如下:
   system=manager

 

 

管理控制台安全性

      ActiveMQ缺省的管理是通过内置的jetty服务器,只要在浏览器中输入http://localhost:8161/admin,不需要登录,就可以对队列、主题及消息等进行管理,可以想象这非常不安全。那么要解决管理控制台的安全性,除了通过修改管理端口号以及应用名称之外,最关键的也是需要进行配置,必须通过身份认证才能登录。本文要说的方式主要是在不改变内置jetty的方式下,通过配置基本认证的方式来实现安全登录。
1)在activemq.xml中增加realm设置
   <userRealms>
       <jaasUserRealm name="adminRealm" loginModuleName="adminLoginModule">
      </jaasUserRealm>
   </userRealms>
2)修改login.config文件,参考上面已见的login.config文件
   adminLoginModule {
       org.mortbay.jetty.plus.jaas.spi.PropertyFileLoginModule required
       debug="true"
       file="C:/software/apache-activemq-5.2.0/conf/realm.properties";
   };
3)在lib/web中增加jetty-plus-6.1.9.jar;

4)在conf中增加realm.properties文件
    system: MD5:1d0258c2440a8d19e716292b231e3190,admins

注意,上面是用户名为system,而密码为manager,如果用户密码不一致,请根据如下命令获得相关信息
java -cp jetty-6.1.9.jar;jetty-util-6.1.9.jar org.mortbay.jetty.security.Password system manager

 

5)修改webapps/admin/WEB-INF/web.xml
   <security-constraint>
       <web-resource-collection>
           <web-resource-name>adminRealm</web-resource-name>
           <url-pattern>/*</url-pattern>
       </web-resource-collection>
       <auth-constraint>
           <role-name>admins</role-name>
       </auth-constraint>
   </security-constraint>
   <login-config>
       <auth-method>BASIC</auth-method>
       <realm-name>adminRealm</realm-name>
   </login-config>

 


总结

       经过如上配置后,必须通过用户安全验证才能连接上消息服务器并进行消息发送和接收。当访问http://localhost:8161/admin/时,将会弹出窗口以让用户输入登录帐号和密码。特别说明一下,ActiveMQ跟安全相关的有三个地方,分别是上面说的消息服务器本身的身份认证、Web Console的身份认证,还有一个地方是通过Web Console访问消息服务器的身份认证,也就是conf/credentials.properties,文件内容如下:
       activemq.username=system
       activemq.password=manager
这三个地方的用户名密码最好一致,尤其是credentials.properties中的账号与users.properties中的管理员账号必须一致。


http://wenku.baidu.com/view/f9f4664f852458fb770b5627.html



https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/ActiveMQ/page/AMQ%E5%AE%89%E5%85%A8%E6%A0%A1%E9%AA%8C%E5%8F%8AAMQ+Console%E5%AE%89%E5%85%A8%E8%AE%A4%E8%AF%81


一. 对AMQ Broker添加校验需要在broker中添加<plugins></plugins>,一下所有操作均需要设置在plugins中。

1. 进行用户组授权配置
<authorizationPlugin>
<map>
<authorizationMap>
<authorizationEntries>
<authorizationEntry queue=">" read="admins,users,guests" write="admins,users" admin="admins" />
<authorizationEntry topic=">" read="admins,users,guests" write="admins,users" admin="admins" />
<authorizationEntry topic="ActiveMQ.Advisory.>" read="guests,users" write="guests,users" admin="guests,users"/>
</authorizationEntries>
</authorizationMap>
</map>
</authorizationPlugin>

">"为通配符,代表任何消息,被赋予admin操作的用户组具有创建消息队列的权限。
 

2.1. 使用简单的用户设置策略
<simpleAuthenticationPlugin>
<users>
<authenticationUser username="system" password="manager" groups="users,admins"/>
<authenticationUser username="user" password="password" groups="users"/>
<authenticationUser username="guest" password="password" groups="guests"/>
</users>
</simpleAuthenticationPlugin>

 

2.2. 使用基于JAAS的认证策略

2.2.1). 配置使用JAAS策略,并定义配置模块为activemq-domain.
<jaasAuthenticationPlugin configuration="activemq-domain" />

 

2.2.2). 在conf目录中创建login.config文件,并设置用户组文件和用户文件
activemq-domain {
org.apache.activemq.jaas.PropertiesLoginModule required
debug=true
org.apache.activemq.jaas.properties.user="users.properties"
org.apache.activemq.jaas.properties.group="groups.properties";
};

 

2.2.3). 建立groups.properties配置用户组和用户
# 组名=用户名
admins=system
users=system,user
guests=guest

 

2.2.4). 建立users.properties配置用户和密码
# 用户名=密码
system=manager
user=password
guest=password

 

3. 设置broker连接密码

3.1). 加载证书配置文件
<bean class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer">
<property name="locations">
<value>file:///${activemq.base}/conf/credentials.properties</value>
</property>
</bean>
 

3.2). 设置证书credentials.properties用户密码
# 键=值
activemq.username=system
activemq.password=manager
 

3.3). 设置broker连接用户密码
<networkConnectors>
<networkConnector name="host" userName="${activemq.username}" password="${activemq.password}" uri="static://(tcp://localhost:61616)"/>
</networkConnectors>

 

二. 对AMQ Console添加BASIC认证

1. 可以将jetty的配置独立成单独的文件,然后在activemq.xml进行引用
<import resource="jetty.xml"/>

 

2.1. 在jetty.xml添加BASIC认证
<bean id="userRealm" class="org.mortbay.jetty.security.HashUserRealm">
<property name="name" value="BPMCSecurity"/> <!-- 认证名 -->
<property name="config" value="${activemq.base}/conf/jetty-realm.properties"/> <!-- 认证用户密码配置 -->
</bean>
<bean id="securityConstraint" class="org.mortbay.jetty.security.Constraint">
<property name="name" value="BASIC" /> <!-- 认证方式,采用BASIC认证 -->
<property name="roles">
<list>
<value>admins</value> <!-- 授权角色:admins -->
</list>
</property>
<property name="authenticate" value="true"/>
</bean>
<bean id="securityConstraintMapping" class="org.mortbay.jetty.security.ConstraintMapping">
<property name="constraint" ref="securityConstraint"/>
<property name="pathSpec" value="/*"/>
</bean>
<!-- 配置handler -->
<bean id="securityHandler" class="org.mortbay.jetty.security.SecurityHandler">
<property name="userRealm" ref="userRealm"/>
<property name="constraintMappings">
<list>
<ref bean="securityConstraintMapping" />
</list>
</property>
</bean>

 

2.2. 添加handler
在Server bean的handler属性中设置HandlerCollection,并添加handlers list中内容
<list>
<ref bean="securityHandler" />
</list>

 

2.3. 添加配置文件jetty-realm.properties
# 格式(用户名:密码,用户组)
system: manager,admins


lqglqglqg
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ActiveMQ配置文件解析
村里的原振侠的博客
10-16 1809
ActiveMQ配置文件 credentials.properties <bean class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer"> <property name="locations"> <value>file:${activemq.conf}/credentials.properties</value>
消息队列ActiveMQ(二)——安全配置
chengshiep的专栏
03-05 3928
ActiveMQ分为2个安全配置:一个是Web控制台的安全配置;另外一个是对于队列/主题的访问安全配置。Web控制台的安全配置打开conf/jetty.xml文件,找到<bean id="securityConstraint" class="org.eclipse.jetty.util.security.Constraint"> <property name="name" value
ActiveMQ安全性配置
technicallife的专栏
07-11 3535
     ActiveMQ安全性,主要表现在两个方面,一个是它的JMS服务安全性,一个是它的管理控制台安全性。在缺省情况下,ActiveMQ在这两个方面都是没有配置安全性的。大家想象一下如果没有安全机制,这将会引起什么样的后果。下文以最新的ActiveMQ5.2为例,详细描述如何配置的过程。  JMS服务安全性      如果没有配置JMS服务安全性,任何连入网络的
ActiveMQ应用笔记三:安全性
甘道夫的大数据进化论
06-11 2287
需求: 1.Client(生产者和消费者)连接ActiveMQ需要使用账号; 2.限制具体的Client对于某个/某些Topic/Queue的操作权限.   一、具体配置 1.conf/activemq.xml中增加如下配置,实现消息授权:                       use JAAS to authenticate using the log
ActiveMQ基础05:ActiveMQ安全
愧九专栏
11-15 253
ActiveMQ也提供了安全认证,就是用户名密码登录规则。ActiveMQ如果需要使用安全认证,必须在activemq的核心配置文件中开启安全配置配置文件就是{activemq安装目录}/config/activemq.xml 在conf/activemq.xml配置文件中的broker标签内增加下述内容。 <jaasAuthenticationPlugin configuration="activemq" />指定了使用 JAAS 插件管理权限,至于 configuration="act
ActiveMQ使用笔记(四)ActiveMQ配置安全性
zyjustin9的专栏
02-26 264
ActiveMQ使用笔记(四)ActiveMQ配置安全性   监视ActiveMQ的方式有多种,在第一部分中已经说到了Web监视控制台,设置登录用户名和密码,这里再说一下JMX监控。运行了ActiveMQ之后,再运行jdk自带的jconsole即可以看到ActiveMQ的进程,如图:   点击连接之后就可以看到ActiveMQ的运行情况。默认情况下是不需要用户名和口令的,修改activ...
activemq 安全连接
weixin_33730836的博客
05-23 127
一、定义用户组1.1simpleAuthenticationPlugin通过在activemq.xml中配置用户组<plugins> <simpleAuthenticationPlugin> <users> <authenticationUserusername="admin"password="passw...
rocketMq之安全性(结尾:十)
qq_19831379的博客
02-10 423
顺序消息的重试 顺序消息消费失败后,rocketMq会进行不断地重试(1秒),所以使用顺序消息要保证及时监控,避免阻塞现象发生 无序消息的重试 无序消息消费失败时,是可以设置返回状态的。无序消息的重试只针对集群模式,广播模式不会进行重试 重试次数 默认情况下,总共16次,会进入死信队列,如果配置大于16次,则时间间隔是2小时,下面是表示间隔时间: 注意:重试时messageId不会变化 配置方式 消息消费失败,重试配置方式,推荐方式1 死信队列 当超过最大重试测试仍然还无法消费时,消息会进
ActiveMQ Web控制台安全性
灯火阑珊处
01-04 216
安装好ActiveMQ后,其默认没有任何安全控制,任何人都可以通过8161端口登录Web控制台,任何人都可以通过61616端口发送和接收JMS消息。在实际应用中,需要由我们自己对ActiveMQ进行安全性配置。 首先讲Web控制台安全性ActiveMQ默认使用Jetty作为内嵌的Web服务器。当然,你也可以把ActiveMQ的部署到Tomcat、JBoss等其他服务器中。在这里,...
中间件加固方案.pdf
10-10
好多系统需要做安全评测,针对使用的中间件产品需要进行加固处理,总结的常见加固策略供参考,具体还以自己的测试要求为准
WEB安全问题
weixin_30632089的博客
03-20 872
Web系统必须采取措施降低Web应用安全风险。 1.认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP。 说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的次数”可配置,支持在锁定时间超时后自动解锁。 2.对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作...
ActiveMQ 发送消息开启安全认证
朝花夕拾
12-20 1491
ActiveMQ的默认配置 activemq.username=admin activemq.password=admin 实际上 admin/amdin 是它的后台登录账户,但是却可以用它来发送消息是不是很神奇,如果你没有开启安全认证,你甚至可以使用 abc/abc 等等你能想到的用户名密码(包括 null/null )来发送消息,因为它不需要用户名和密码。开启安全认证后就只能使用配置...
ACTIVEMQ主题、队列设置用户名密码
记事本
10-25 1万+
ACTIVEMQ主题、队列设置用户名密码
activemq的安全机制、Connection使用方法、Session的使用方法、签收模式、使用事务
qq_41273137的博客
11-16 963
activemq的安全机制、Connection使用方法、Session的使用方法、签收模式、使用事务
Apache ActiveMQ Console 存在默认弱口令
自强不息
05-08 1392
这个世界并不是掌握在那些嘲笑者的手中,而恰恰掌握在能够经受得住嘲笑与批评仍不断往前走的人手中。
ActiveMQ漏洞总结
热门推荐
看不尽的尘埃——博客
02-11 1万+
目录 ActiveMQ 攻击方式 寻找目标 弱口令 未授权访问 源代码泄露 XSS漏洞 远程代码执行漏洞 反序列化漏洞 ActiveMQ Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。随着中间件的启动,会打开两个端口,61616是工作端口,消息在这个端口进行传...
ActiveMQ安全机制设置
Ufridy的博客
10-09 241
ActiveMQ安全机制设置一、设置后台管理密码二、消息生产者和消费者密码认证三、在Java生产者和消费者端设置用户名密码才能连接 一、设置后台管理密码 a、ActiveMQ使用的是jetty服务器,找到D:\div\apache-activemq-5.11.1\conf\jetty.xml文件: <bean id="adminSecurityConstraint" class="org.eclipse.jetty.util.security.Constraint"> <prope
ActiveMQ安装配置及实例
程序员小董的专栏
06-08 5172
本文可作为吴水成老师,dubbo课程第21节的学习笔记。 ActiveMQ的介绍及功能 参考百度 ActiveMQ的下载 https://activemq.apache.org/activemq-5113-release.html 另外,直接从官网下载,会有些慢,右键,检查,找到地址后用迅雷下载 下载的文件解压后如下: 安装及配置 和Acti
activemq命令行如何进入控制台
最新发布
05-18
进入控制台需要使用 ActiveMQ 自带的命令行工具,其名称是 activemq-admin。 具体步骤如下: 1. 打开终端或命令行窗口。 2. 进入 ActiveMQ 的 bin 目录,例如:cd /path/to/activemq/bin。 3. 输入 ./activemq-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值