禁用AMQP配置中的明文身份验证机制--漏洞解决方法

已于 2024-02-20 10:34:27 修改
阅读量541 收藏 1
点赞数
文章标签: ruby 开发语言 后端
于 2021-01-05 16:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41982913/article/details/132993462
版权

RABBITMQ漏洞描述:

远程高级消息队列协议(AMQP)服务支持一种或多种允许以明文形式发送凭据的身份验证机制。

修改建议:

禁用AMQP配置中的明文身份验证机制。

具体操作

修改rabbitmq配置文件,把auth_mechanisms的默认配置修改为:EXTERNAL即可解决该问题。

下面是关于docker-compose安装rabbitmq的修改方式,其他安装修改方式可以查看如下连接:禁用AMQP配置中的明文身份验证机制--漏洞解决方法_在 amqp 配置中禁用明文验证机制。-CSDN博客

步骤

1.docker-compose文件修改,要把配置文件挂载在主机目录,主要增加:- ./conf/rabbitmq:/etc/rabbitmq 这个配置

version: '3.1'
​
services:
  rabbitmq:
    image: rabbitmq:3.8.3
    restart: always
    container_name: rabbitmq
    ports:
      - 5672:5672
      - 15672:15672
    volumes:
      - ./data/rabbitmq:/var/lib/rabbitmq
      - ./conf/rabbitmq:/etc/rabbitmq
​

2.在挂载目录/conf/rabbitmq下面,创建文件rabbitmq.conf,粘贴如下内容进去,主要是增加:auth_mechanisms.3 = EXTERNAL这个配置,表示不使用明文身份认证

loopback_users.guest = false
listeners.tcp.default = 5672
management.tcp.port = 15672
auth_mechanisms.3 = EXTERNAL

3.重启容器,测试,进入到rabbitmq容器里面,通过命令rabbitmqctl environment查看

[root@yc rabbitmq]# docker restart rabbitmq
[root@yc rabbitmq]# docker exec -it rabbitmq bash
root@7cfd154a5da3:/# rabbitmqctl environment

在下图位置看到相应的配置, {auth_mechanisms,['EXTERNAL']},则表示配置生效

水的情
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
amqp的一些配置信息,规范
08-05
rabbit的AMQP协议介绍
SpringBoot修复Spring AMQP反序列化漏洞(CVE-2023-34050)
记录点滴
10-27 4487
问题描述: 2023年10月 Spring官方披露 CVE-2023-34050 Spring AMQP反序列化漏洞漏洞。由于 SimpleMessageConverter 或 SerializerMessageConverter 默认未配置白名单,导致可以反序列化任意类。新版本在未配置白名单的情况下则不允许反序列化任意类。 解决的建议: 1.spring-amqp版本低于2.4.17的用户应升级到2.4.17 2.spring-amqp是3.0.0至3.0.9版本的用户应升级至3.0.10
【亲测可用】禁用AMQP配置明文身份验证机制-漏洞解决方法(RabbitMQ开启SSL附SpringBoot连接测试代码)
拾级而上
01-07 9225
被安全扫描出RabbitMQ 远程主机允许明文身份验证漏洞,本文教你解决它!
rabbitmq 安装以及一些常用命令(非容器)并修复rabbitmq的AMQP漏洞
weixin_44646065的博客
12-21 2151
** 由于容器安装的mq配置文件挂载不进去处理不了AMQP漏洞,故采用以下的方式本文仅提供单机的rabbitmq的安装和漏洞的修复配置 ** 1.安装rabbitMQ 由于RabbitMQ依赖Erlang, 所以在安装rabbitMQ之前需要先安装Erlang 你可以直接执行yum install erlang,但是这种安装方法安装的Erlang版本可能不是最新的,有时候不能满足RabbitMQ需要的最低版本,所以本文推荐使用Erlang Solution安装的方式。 新建一个erlang-solution
RabbitMQ开启TLS支持,解决AMQP明文身份验证漏洞
最新发布
创意程序员的博客
02-26 2253
随着网络通信安全性的日益重要,我们不难发现,在企业级应用,数据传输的安全防护措施已经成为不可或缺的一环。近期,不少使用RabbitMQ的开发团队收到了关于“远程主机允许明文身份验证”的漏洞警告。为确保敏感信息的安全传递,启用TLS(Transport Layer Security)支持成为了关键的解决方案。本文将详细介绍如何在RabbitMQ启用TLS加密,以及在SpringBoot应用配置TLS并设置EXTERNAL认证,通过实际操作步骤解决明文身份验证漏洞
漏洞修复】AMQP Cleartext认证漏洞配置EXTERNAL鉴权方式
11-24 8590
文章目录问题描述RabbitMQ鉴权机制验证rabbitMQ服务配置修改rabbitmq.config服务器 部署docker部署 问题描述 漏洞编号 76311 风险级别 风险 远程主机正在运行允许明文身份验证的服务。 远程高级消息队列协议(AMQP)服务支持一个或多个身份验证机制,允许以清晰的方式发送凭据。 解决办法 在AMQP配置禁用明文认证机制。 RabbitMQ鉴权机制 RabbitMQ 支持多种 SASL 鉴权机制。服务器内置了三种:PLAIN、AMQPLAIN 和 RABBIT-CR
漏洞扫描
Xiayuyuren_Study的博客
06-13 7380
【主机漏洞】HTTP TRACE / TRACK Methods Allowed 1、影响说明 TRACE and TRACK are HTTP methods that are used to debug web server connections. TRACE 和 TRACK方法是 web 服务器连接的调试方法. Servers supporting this method are sub...
禁用AMQP配置明文身份验证机制(包含Springboot结果测试+踩坑)
u013551615的博客
08-13 4469
禁用AMQP配置明文身份验证机制
RabbitMQ学习(二)——AMQP协议
Anumbrella
04-21 9243
在上一篇博客我们介绍了RabbitMQ的基本特性和安装,本篇博文将会对RabbitMQ的基本知识进行介绍。主要包括以下几点的知识介绍: AMQP协议介绍 RabbitMQ常用的基本术语 RabbitMQ的工作流程介绍 RabbitMQ是消息传输的间者,可以把它当做是一个消息代理,你把消息传送给它,它再把消息发送给具体的接收人。 这就像是邮局一样,你把邮件放入邮箱当,邮件员会把邮件...
rabbitmq-auth-tls-certificate:通过AMQPSauprèsd'unservur Ra​​bbitMQ进行的身份证明
02-22
可以通过RabbitMQ的AMQPS来获得卓越的身份证明。 客户四方的CN认证(通用名称), zenika 。 树状 构成要素说明的说明: conf重组: rabbitmq.config RabbitMQ上配置rabbitmq.config进行配置。 enabled_plugins ...
JavaWeb程序代码安全漏洞处理!
08-03
NULL 博文链接:https://eddysoft.iteye.com/blog/1992468
AMQP-CPP是用于与RabbitMq消息间件通信的c++库
06-07
8. **错误处理**:AMQP-CPP提供了一套完整的错误处理机制,帮助开发者诊断和解决可能出现的问题。 在实际开发,使用AMQP-CPP可能涉及以下步骤: 1. **初始化和连接**:创建AMQP::Library实例,然后建立到RabbitMQ...
spring-cloud-config + spring-cloud-bus-amqp实现分布式集群配置动态更新
08-05
总结来说,Spring Cloud Config 和 Spring Cloud Bus AMQP 的组合,借助于RabbitMQ,为我们提供了一个强大的分布式配置管理和动态更新机制。通过这种解决方案,我们可以高效地管理大规模微服务集群的配置,提高系统...
amqp-client-5.1.2-API文档-文版.zip
06-26
赠送jar包:amqp-client-5.1.2.jar; 赠送原API文档:amqp-client-5.1.2-javadoc.jar; 赠送源代码:amqp-client-5.1.2-sources.jar; 赠送Maven依赖信息文件:amqp-client-5.1.2.pom; 包含翻译后的API文档:amqp-...
漏洞修复】docker 环境下,AMQP Cleartext认证漏洞,rabbitmq明文漏洞修复,超详细
yyysilence的博客
07-04 2922
sh create_client_cert.sh rabbitmq-client 654321 #654321为自定义密码。# -alias后为别称,-file后是服务端公钥位置,-keystore后是输出JSK证书位置 STORE_PASS任意。sh make_server_cert.sh rabbitmq-server 123456 #123456为自定义密码。部署完成后,docker exec进入容器,在容器添加插件才能启用SSL验证的功能。3. server.key.pem # 服务器私钥。
linux关闭mq的认证,CentOS 7 - RabbitMQ 开启ssl安全认证
weixin_31170085的博客
05-15 495
CentOS 7 - RabbitMQ 开启ssl安全认证生成证书TLS / SSL证书生成器:git clone https://github.com/michaelklishin/tls-gen tls-gencd /optgit clone https://github.com/michaelklishin/tls-gen tls-gencd tls-gen/basic# 设置私钥密码mak...
RabbitMQ的消息确认机制,消息重试机制
ROAOR1的博客
03-24 5172
承接上文SpringBoot整合RabbitMQ RabbitMQ的消息确认机制 RabbitMQ的消息确认有两种。 一种是消息发送确认。这种是用来确认生产者将消息发送给交换器,交换器传递给队列的过程,消息是否成功投递。发送确认分为两步,一是确认是否到达交换器,二是确认是否到达队列。 第二种是消费接收确认。这种是确认消费者是否成功消费了队列的消息。 消息发送确认 通过实现ConfirmCall...
spring-cloud-starter-bus-amqp
07-28
`spring-cloud-starter-bus-amqp` 是一个 Spring Cloud 提供的用于在分布式系统进行消息总线通信的插件。它基于 AMQP(Advanced Message Queuing Protocol)协议,通过消息队列来实现系统之间的解耦和异步通信。 使用 `spring-cloud-starter-bus-amqp` 可以方便地将 Spring Cloud 的各个微服务通过消息总线连接起来,实现事件的发布和订阅。当一个微服务的状态发生变化时,它可以将变化事件发送到消息总线上,其他订阅了该事件的微服务可以获取到这个事件并做出相应的处理。 通过使用消息总线,可以实现微服务之间的解耦,提高系统的可扩展性和灵活性。同时,它也可以用于动态刷新配置、集群广播等功能。 需要注意的是,使用 `spring-cloud-starter-bus-amqp` 需要先配置 RabbitMQ 或者其他支持 AMQP 协议的消息队列服务,并在各个微服务的配置添加相应的依赖和配置。详细的使用方法可以参考 Spring Cloud 的官方文档或者相关教程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值