【漏洞修复】AMQP Cleartext认证漏洞,配置EXTERNAL鉴权方式

最新推荐文章于 2024-02-26 13:55:20 发布
最新推荐文章于 2024-02-26 13:55:20 发布
阅读量8.2k 收藏 8
点赞数 2
分类专栏: 服务器配置 服务器漏洞修复 文章标签: ssh centos 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23934063/article/details/121511337
版权

文章目录

问题描述

漏洞编号 76311
风险级别 中风险
远程主机正在运行允许明文身份验证的服务。
远程高级消息队列协议(AMQP)服务支持一个或多个身份验证机制,允许以清晰的方式发送凭据。
解决办法 在AMQP配置中禁用明文认证机制。

RabbitMQ鉴权机制

RabbitMQ 支持多种 SASL 鉴权机制。服务器中内置了三种:PLAIN、AMQPLAIN 和 RABBIT-CR-DEMO,以及一种通过插件方式的 EXTERNAL。
更多鉴权机制可以通过插件提供。查阅插件开发指南获取更多关于通用插件开发的信息。

机制类型描述
PLAINSASL PLAIN 鉴权。在 RabbitMQ 服务器和客户端都是默认开启,大部分其他客户端也是该默认设置。
AMQPPLAIN为像后兼容的非标准版 PLAIN,这个在 RabbitMQ 服务端默认开启。
EXTERNAL鉴权发生在使用带外机制,如 x509 证书的对等验证,客户端 IP 地址范围,或者类似的。这样的机制通用由 RabbitMQ 插件提供。
RABBIT-CR-DEMO展示质询-响应鉴权的非标准机制。这个机制安全性与 PLAIN 相等,在 RabbitMQ 服务端默认不开启。

RabbitMQ 应用中配置变量 auth_mechanisms 决定了提供哪一种已安装的机制给连接的客户端。该变量应该是相应机制名称的原子列表,如:默认的 [‘PLAIN’, ‘AMQPLAIN’]。该服务端的列表不代表特定的顺序。

验证rabbitMQ服务配置

# 服务器 部署
rabbitmqctl environment
# docker 部署
docker exec rabbitmq rabbitmqctl environment

在这里插入图片描述

修改rabbitmq.config

服务器 部署

vi /etc/rabbitmq/rabbitmq.config

[
  {rabbit,
    [
      { tcp_listeners, [ 5672 ] },
      { ssl_listeners, [ ] },
      {default_user, <<"your_user">>},
      {default_pass, <<"your_pass">>},
      {loopback_users, []},
      {auth_mechanisms,['EXTERNAL']}
    ]
  },
  { rabbitmq_management, [
      { listener, [
        { port, 15672 },
        { ssl, false }
        ]
      }
    ]
  }
].

docker部署

我们使用RABBITMQ_SERVER_ADDITIONAL_ERL_ARGS环境变量,例如,配置channel_max看起来像 -e RABBITMQ_SERVER_ADDITIONAL_ERL_ARGS="-rabbit auth_mechanisms ['EXTERNAL']". 在环境中翻译时,变量 auth_mechanisms 与 [‘EXTERNAL’]之间的空格会翻译成逗号。

# 删除原有的容器
docker stop rabbitmq
docker rm rabbitmq
# 运行新容器
docker run -dit --name rabbitmq -e RABBITMQ_SERVER_ADDITIONAL_ERL_ARGS="-rabbit auth_mechanisms ['EXTERNAL']"  -v /mnt/service-data/rabbitmq/lib:/var/lib/rabbitmq -v /mnt/service-data/rabbitmq/log:/var/log/rabbitmq  rabbitmq:3.5.7
# 验证配置
docker exec rabbitmq rabbitmqctl environment

在这里插入图片描述

不太灵光的程序员
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
rabbitmq-auth-tls-certificate:通过AMQPSauprèsd'unservur Ra​​bbitMQ进行的身份证明
02-22
描述 可以通过RabbitMQ的AMQPS来获得卓越的身份证明。 客户四方的CN认证(通用名称), zenika 。 树状 构成要素说明的说明: conf重组: rabbitmq.config RabbitMQ上配置rabbitmq.config进行配置。 enabled_plugins deféfinissantles插件( rabbitmq_auth_mechanism_ssl )。 testca自动签名证书。 server regroupe未certificat张问题德testca目的地杜serveur RabbitMQ的,AINSI阙LES元件AYANT PERMIS生成SA(requête等谱号PRIVEE)。 client重组: 未certificat张问题德testca目的地D'未客户AMQP,AINSI阙LES元件AYANT PERMIS生成SA(requêt
SpringAMQP DirectExchange 通过配置类、注解实现 hello world
11-16
SpringAMQP DirectExchange 通过配置类、注解实现 hello world
【Java Web 安全】常见安全漏洞及解决方案
热门推荐
qqchaozai的专栏
10-22 1万+
1 SQL注入 大名鼎鼎,对于Java而言,通过SQL预处理轻松解决。 2 存储型XSS 保存数据时未检测包含js或html代码,照成数据被读取并加载到页面时,会触发执行js或html代码。 样例: <a id='attacker'>点击就送百元现金</a><br> <script> document.getElementById('at...
RabbitMQ开启TLS支持,解决AMQP明文身份验证漏洞
最新发布
创意程序员的博客
02-26 1714
随着网络通信安全性的日益重要,我们不难发现,在企业级应用中,数据传输的安全防护措施已经成为不可或缺的一环。近期,不少使用RabbitMQ的开发团队收到了关于“远程主机允许明文身份验证”的漏洞警告。为确保敏感信息的安全传递,启用TLS(Transport Layer Security)支持成为了关键的解决方案。本文将详细介绍如何在RabbitMQ中启用TLS加密,以及在SpringBoot应用中配置TLS并设置EXTERNAL认证,通过实际操作步骤解决明文身份验证漏洞
amqp的一些配置信息,规范
08-05
rabbit的AMQP协议介绍
JavaWeb程序代码安全漏洞处理!
08-03
NULL 博文链接:https://eddysoft.iteye.com/blog/1992468
RabbitMQ学习(二)——AMQP协议
Anumbrella
04-21 9201
在上一篇博客中我们介绍了RabbitMQ的基本特性和安装,本篇博文将会对RabbitMQ的基本知识进行介绍。主要包括以下几点的知识介绍: AMQP协议介绍 RabbitMQ中常用的基本术语 RabbitMQ的工作流程介绍 RabbitMQ是消息传输的中间者,可以把它当做是一个消息代理,你把消息传送给它,它再把消息发送给具体的接收人。 这就像是邮局一样,你把邮件放入邮箱当中,邮件员会把邮件...
漏洞扫描
Xiayuyuren_Study的博客
06-13 7186
【主机漏洞】HTTP TRACE / TRACK Methods Allowed 1、影响说明 TRACE and TRACK are HTTP methods that are used to debug web server connections. TRACE 和 TRACK方法是 web 服务器连接的调试方法. Servers supporting this method are sub...
漏洞修复】docker 环境下,AMQP Cleartext认证漏洞,rabbitmq明文漏洞修复,超详细
yyysilence的博客
07-04 2642
sh create_client_cert.sh rabbitmq-client 654321 #654321为自定义密码。# -alias后为别称,-file后是服务端公钥位置,-keystore后是输出JSK证书位置 STORE_PASS任意。sh make_server_cert.sh rabbitmq-server 123456 #123456为自定义密码。部署完成后,docker exec进入容器,在容器中添加插件才能启用SSL验证的功能。3. server.key.pem # 服务器私钥。
禁用AMQP配置中的明文身份验证机制--漏洞解决方法
zmlsh的专栏
10-06 1万+
RABBITMQ漏洞描述: 远程高级消息队列协议(AMQP)服务支持一种或多种允许以明文形式发送凭据的身份验证机制。 修改建议: 禁用AMQP配置中的明文身份验证机制。 具体操作: 1.查看mq环境 rabbitmqctl environment 可看到, auth_mechanisms默认的配置为PLAIN和AMQPLAIN。 2.修改mq配置文件 配置文件位置: 本文 Ubuntu 配置文件在/etc/rabbitmq/rabbitmq.conf目录。 [{rab...
Spring AMQP Fanout Exchange hello world 配置类、注解 2种实现方式源码
11-16
Spring AMQP Fanout Exchange hello world 配置类、注解 2种实现方式源码
Understanding the implementation of IEEE MAC 802.11 standard in NS-2
07-18
描述在ns2中802.11标准协议MAC层的结构、代码、执行顺序分析
spring amqp 配置实现rabbitmq 路由
09-02
spring amqp 配置实现rabbitmq 路由
SpringAMQP TopicExchange 通过配置类、注解2种方式实现
11-16
SpringAMQP TopicExchange 通过配置类、注解2种方式实现
spring-framework-5.0.5.RELEASE 漏洞修复
04-11
漏洞详情: spring-messaging模块远程代码执行(CVE-2018-1270) STOMP(Simple Text Orientated Messaging Protocol)全称为简单文本定向消息协议,它允许STOMP客户端与任意STOMP消息代理(Broker)进行交互。...
org.springframework.amqp.AmqpAuthenticationException:
imbestman的博客
03-24 3585
org.springframework.amqp.AmqpAuthenticationException: com.rabbitmq.client.AuthenticationFailureException: ACCESS_REFUSED - Login was refused using authentication mechanism PLAIN. For details see the broker logfile. 出现如上问题解决方法:确认一下自己的rabbitmq的用户名或密码是否正确即可。
禁用AMQP配置中的明文身份验证机制(包含Springboot结果测试+踩坑)
u013551615的博客
08-13 4215
禁用AMQP配置中的明文身份验证机制
CoAP、MQTT、AMQP、HTTP和WebSocke 如何配置
05-19
这些协议的配置方式会因为具体使用的场景和工具而有所不同,下面是一些常见的配置方式: 1. CoAP:CoAP是一个轻型的、面向资源的通信协议,通常在物联网应用中使用。配置方式可以根据使用的开发工具来决定,比如可以使用Python的aiocoap库来实现CoAP客户端和服务器。 2. MQTT:MQTT是一种发布-订阅的消息传递协议,常用于物联网设备之间的通信。MQTT可以使用多种开发语言实现,例如Python、Java、C++等。配置方式需要设置MQTT服务器的IP地址、端口号、用户名、密码等信息。 3. AMQPAMQP是一种高级消息队列协议,用于异步消息传输。AMQP常用于分布式系统中,可以使用多种开发语言实现,例如Java、C++、Python等。配置方式需要设置AMQP服务器的IP地址、端口号、用户名、密码等信息。 4. HTTP:HTTP是一种应用层协议,常用于Web应用程序中进行数据交换。配置方式需要设置HTTP服务器的IP地址、端口号、API接口等信息。 5. WebSocket:WebSocket是一种基于TCP协议的全双工通信协议,常用于实时数据交互。WebSocket可以使用多种开发语言实现,例如Python、JavaScript等。配置方式需要设置WebSocket服务器的IP地址、端口号、API接口等信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不太灵光的程序员

有用的话可以请博主喝杯咖啡续命

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值