第六章, ActiveMQ安全 【笔记,慎重浏览】

最新推荐文章于 2024-08-24 02:50:25 发布
最新推荐文章于 2024-08-24 02:50:25 发布
阅读量603 收藏 1
点赞数
分类专栏: activeMQ 文章标签: ActiveMQ 安全 授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37355951/article/details/78236288
版权

概述:涉及消息传输,都会涉及安全问题

本章涉及:

  • 基础安全概念
  • 通过XML或JAAS授权
  • 授权技术
  • 消息级别授权
  • 构建一个自定义安全插件

6.1、介绍基础安全概念

介绍目前安全有,直接用户名密码、JAAS进行授权,ACL(权限控制列表)

6.2、授权

分为两种,一种为Xml配置,一种JAAS授权插件

6.2.1、配置简单授权插件(xml格式)

<?xml version="1.0" encoding="utf-8"?>

<broker xmlns="http://activemq.org/config/1.0" brokerName="localhost" dataDirectory="${activemq.base}/data">  
  <transportConnectors> 
    <transportConnector name="openwire" uri="tcp://localhost:61616"/> 
  </transportConnectors>  
  <plugins> 
    <simpleAuthenticationPlugin> 
      <users> 
        <authenticationUser username="admin" password="password" groups="admins,publishers,consumers"/>  
        <authenticationUser username="publisher" password="password" groups="publishers,consumers"/>  
        <authenticationUser username="consumer" password="password" groups="consumers"/>  
        <authenticationUser username="guest" password="password" groups="guests"/> 
      </users>¶
    </simpleAuthenticationPlugin> 
  </plugins> 
</broker>

6.2.2.配置JAAS插件

JAAS官方文档:http://www.oracle.com/technetwork/java/javase/jaas/index.html

它验证文件可以简单的文本文件、关系型数据库,LDAP等等,它必须要实现javax.security.auth.spi.LoginModule接口

创建一个login.config

activemq-domain {
org.apache.activemq.jaas.PropertiesLoginModule required
debug=true
org.apache.activemq.jaas.properties.user="users.properties"
org.apache.activemq.jaas.properties.group="groups.properties";
};
users.properties 
admin=password
publisher=password
consumer=password
guest=password

groups.properties 

admins=admin
publishers=admin,publisher
consumers=admin,publisher,consumer
guests=guest

最后配置

...
<plugins>
<jaasAuthenticationPlugin configuration="activemq-domain" />
</plugins>
...

6.3、授权

分为两种级别:一种操作级别和消息级别

6.3.1. 操作级别授权

有三种,读、写、Admin(读/写)

<plugins> 
  <jaasAuthenticationPlugin configuration="activemq-domain"/>  
  <authorizationPlugin> 
    <map> 
      <authorizationMap> 
        <authorizationEntries> 
          <authorizationEntry topic=">" read="admins" write="admins" admin="admins"/>  
          <authorizationEntry topic="STOCKS.>" read="consumers" write="publishers" admin="publishers"/># 
          <authorizationEntry topic="STOCKS.ORCL" read="guests"/>  
          <authorizationEntry topic="ActiveMQ.Advisory.>" read="admins,publishers,consumers,guests" write="admins,publishers,consumers,guests" admin="admins,publishers,consumers,guests"/> 
        </authorizationEntries> 
      </authorizationMap> 
    </map> 
  </authorizationPlugin> 
</plugins>

6.3.2.消息级别授权

需要实现org.apache.activemq.security.MessageAuthorizationPolicy接口

public class AuthorizationPolicy implements MessageAuthorizationPolicy {
private static final Log LOG = LogFactory.getLog(AuthorizationPolicy.class);
	public boolean isAllowedToConsume (ConnectionContext context, Message message) {
		LOG.info(context.getConnection().getRemoteAddress());
		if (context.getConnection().getRemoteAddress().startsWith("/127.0.0.1")) {
			return true;
		} else {
		return false;
		}
	}
}

然后配置: 

<messageAuthorizationPolicy>
<bean class="org.apache.activemq.book.ch5.AuthorizationPolicy" xmlns="" />
</messageAuthorizationPolicy>

6.4、代理商级别操作

BrokerFilter类提供很多有用的操作
一种实现JAAS登录模块

一种实现自定义插件去处理安全问题

6.4.1 构建自定义安全插件

基于IP地址限制,IPAuthenticationBroker类,重写它BrokerFilter.addConnection();方法

public class IPAuthenticationBroker extends BrokerFilter {
	List<String> allowedIPAddresses;
	Pattern pattern = Pattern.compile("^/([0-9\\.]*):(.*)");
	public IPAuthenticationBroker(Broker next, List<String> allowedIPAddresses) {
		super(next);
		this.allowedIPAddresses = allowedIPAddresses;
	}
	public void addConnection(ConnectionContext context, ConnectionInfo info)
			throws Exception { 
		String remoteAddress = context.getConnection().getRemoteAddress();
			Matcher matcher = pattern.matcher(remoteAddress);
			if (matcher.matches()) {
				String ip = matcher.group(1);
				if (!allowedIPAddresses.contains(ip)) {
					throw new SecurityException(
							"Connecting from IP address " + ip + " is not allowed"
							);
				}
			} else {
				throw new SecurityException("Invalid remote address " + remoteAddress);
			}
			super.addConnection(context, info);
	}
}

实现自己的插件 

public class IPAuthenticationPlugin implements BrokerPlugin {
	List<String> allowedIPAddresses;
	public Broker installPlugin(Broker broker) throws Exception {¶
		return new IPAuthenticationBroker(broker, allowedIPAddresses);
	}
	public List<String> getAllowedIPAddresses() {
		return allowedIPAddresses;
	}
	public void setAllowedIPAddresses(List<String> allowedIPAddresses) {
		this.allowedIPAddresses = allowedIPAddresses;
	}
}

然后配置这个插件 

<broker  xmlns="http://activemq.org/config/1.0"  brokerName="localhost" dataDirectory="${activemq.base}/data"plugins="#ipAuthenticationPlugin">
<transportConnectors>
<transportConnector name="openwire" uri="tcp://localhost:61616" />
</transportConnectors>
</broker>
<bean id="ipAuthenticationPlugin" class="org.apache.activemq.book.ch5.IPAuthenticationPlugin">
<property name="allowedIPAddresses">
<list>
<value>127.0.0.1</value>
</list>
</property>
</bean>

往前的
关注
专栏目录
ActiveMQ使用SSL加密文件Demo
11-07
此demo结合了网上纷乱的资源进行讲解。少量操作即可直接跑通,适合初学者进行学习。所需jar包在demo中也都具有。
activemq activeMq笔记
01-04
### ActiveMQ 概述 Apache ActiveMQ 是一款非常流行的开源消息中间件,它支持 Java 消息服务 (JMS) 标准,并提供了多种高级功能,例如持久化、集群、故障转移等。ActiveMQ 能够帮助开发者实现解耦、可靠的消息传输...
消息中间件-activemq安全机制
rickiyang的博客
05-29 2621
activemq作为消息中间件这样一个独立的个体存在,连通用户和服务器。如果没有一套完备的安全机制去设置用户权限设置消息分发机制可想后果是非常严重。ActiveMQ如果不加入安全机制的话,任何人只要知道消息服务的具体地址(包括ip,端口,消息地址[队列或者主题地址,),都可以肆无忌惮的发送、接收消息。今天我们就探讨一下他的安全机制。1.安全机制介绍我们讨论安全机制一般包括两个部分: 验证(Authe
ActiveMQ授权访问漏洞
qq_68186313的博客
08-05 198
ActiveMQ是一款流行的开源消息服务器。默认情况下,ActiveMQ服务是没有配置安全参数。非法人员可以利用默认配置弱点发动远程命令执行攻击,获取服务器权限,从而导致数据泄漏。2、ActiveMQ默认使用8161端口,默认用户名和密码是admin/admin,在打开的页面输入。1、使用以下Fofa语法搜索产品。ActiveMQ授权访问漏洞。
ActiveMQ基础05:ActiveMQ安全
愧九专栏
11-15 268
ActiveMQ也提供了安全认证,就是用户名密码登录规则。ActiveMQ如果需要使用安全认证,必须在activemq的核心配置文件中开启安全配置,配置文件就是{activemq安装目录}/config/activemq.xml 在conf/activemq.xml配置文件中的broker标签内增加下述内容。 <jaasAuthenticationPlugin configuration="activemq" />指定了使用 JAAS 插件管理权限,至于 configuration="act
ActiveMQ安全与权限管理
程序员光剑
01-28 571
1.背景介绍 1. 背景介绍 ActiveMQ 是 Apache 基金会的一个开源项目,它是一个高性能、可扩展的消息中间件,用于实现分布式系统中的异步通信。ActiveMQ 支持多种消息传输协议,如 JMS、AMQP、MQTT 等,可以满足不同的应用需求。 在分布式系统中,安全与权限管理是非常重要的。为了保护系统的数据和资源,我们需要确保只有授权的用户可以访问和操作系统中的资源。在 Acti...
ActiveMQ】之安全机制(一)管控台安全设置
最新发布
weixin_40253751的博客
08-24 9
ActiveMQ 管控台基于jetty,默认端口8161,默认用户名,密码都是admin,这样的安全配置过于弱化,所以我们需要修改一下1、修改端口找到conf/jetty.xml文件里面这一段配置更改即可登录后复制 <bean id="jettyPort" class="org.apache.activemq.w...
activeMQ笔记
04-08
### ActiveMQ学习笔记知识点梳理 #### 一、ActiveMQ简介与消息传递机制 **ActiveMQ**是一款开源的消息中间件,支持多种消息传输协议,如AMQP、STOMP、MQTT等,广泛应用于分布式系统中进行消息传递。在ActiveMQ的...
ActiveMQ笔记
03-14
**ActiveMQ笔记** ActiveMQ是Apache软件基金会的一个开源项目,它是Java消息服务(JMS)的一个实现,专门用于处理消息传递。作为一个中间件,ActiveMQ允许应用程序之间通过异步通信来解耦它们的功能,提高系统的可...
ActiveMQ笔记08-ActiveMQ在Linux下安装
01-20
Apache ActiveMQ是一款开源的消息中间件,它遵循Java Message Service (JMS) 规范,能够支持多种消息协议,如OpenWire、AMQP、STOMP等,适用于构建分布式系统中的消息传递和解耦。在Linux环境下安装和管理ActiveMQ是...
ActiveMq笔记.zip
02-27
**ActiveMQ笔记** ActiveMQ是Apache软件基金会开发的一款开源消息中间件,它是Java Message Service (JMS) 的实现,广泛应用于分布式系统中的异步通信。本笔记将详细探讨ActiveMQ的核心概念、工作原理以及实际应用...
自己写的ActiveMQ的Demo例子
03-27
自己写的ActiveMQ简单demo,包括生产者、消费者之间发送消息、持久化到文件和持久化到数据库,期中持久化需要修改activemq.xml文件
CentOS安装Activemq图文教程
10-10
Linux,centos系统安装Activemq教程,开机启动的设置
ActiveMQ入门之安全认证
yu1755128147的博客
06-29 211
简单安全认证 1、打开解压缩后apache-activemq文件夹,修改conf文件夹下的activemq.xml文件内容,如下图: 2、编写消息发送者代码,如下: package com.wedu.mq; import javax.jms.Connection; import javax.jms.ConnectionFactory; import javax.jms.Message...
activeMQ安全配置及常见问题解决
weixin_30404405的博客
12-18 248
https://blog.csdn.net/dandan2zhuzhu/article/details/78461872 转载于:https://www.cnblogs.com/diyunpeng/p/10135120.html
Apache ActiveMQ Console 存在默认弱口令
自强不息,厚德载物
05-08 1795
这个世界并不是掌握在那些嘲笑者的手中,而恰恰掌握在能够经受得住嘲笑与批评仍不断往前走的人手中。
【CVE-2016-3088】 Activemq文件上传以及弱口令
Lazy_ass的博客
11-25 6638
CVE-2016-3088 PUT方法上传文件(自建环境) 漏洞描述: Apache ActiveMQ是美国阿帕奇(Apache)软件基金会的一套开源的消息中间件 Apache ActiveMQ 5.14.0之前5.x版本的Fileserver Web应用中存在安全漏洞。远程攻击者可通过发送HTTP PUT和HTTP MOVE请求利用该漏洞上传并执行任意文件 漏洞复现流程 1: 首先需要判断/fileserver目录是否具有访问权限 2: 访问/admin/test/systemProperties.js
第七章 ActiveMQ 安全认证
zcf9916的博客
12-02 375
                                                                  ActiveMQ 安全认证   章节导读    如何使用安全认证    如何使用授权    如何创建一个定制的安全插件    使用基于证书的安全认证               认证就是一个验证某些请求受保护的资源的用户或者实体的完整性的过程.一...
第十三章,微调ActiveMQ来提高性能【笔记
往前的娘娘
10-17 1050
概述:如果涉及到性能方面,关联很多因素,例如网络,系统,java虚拟机,硬件等等 这里只是从ActiveMQ本身设置来提高性能 13.1.一般的技术 有两种一般方式: 第一种:使用not-persistent(非持久)消息模式 第二种:使用事务批量处理 13.1.1.持久VS非持久消息 非持久消息快于持久消息两个原因 消息发送是异步的,也就是不用等到回复 (缺点,可能会丢失
ActiveMQ安全机制详解与源码剖析:验证与授权实现
ActiveMQ是一款流行的开源消息服务器,其安全机制主要包括验证(Authentication)和授权(Authorization)两个关键部分。在ActiveMQ中,验证主要通过用户名和密码来验证用户的身份,确保只有授权的用户才能访问和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值