禁用AMQP配置中的明文身份验证机制(包含Springboot结果测试+踩坑)

已于 2022-08-13 14:46:13 修改
阅读量4.3k 收藏 3
点赞数 1
分类专栏: SSL TLS RabbitMQ 文章标签: spring boot java-rabbitmq rabbitmq
于 2022-08-13 14:33:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013551615/article/details/126314195
版权
SSL 同时被 3 个专栏收录
1 篇文章 0 订阅
订阅专栏
TLS
1 篇文章 0 订阅
订阅专栏
RabbitMQ
1 篇文章 0 订阅
订阅专栏

前言

最近公司内网部署RabbitMQ服务器,部署上测试后安全部门扫描到MQ服务器有一个漏洞【禁用AMQP配置中的明文身份验证机制】。本文记录解决该漏洞的过程和方法,以及遇到的问题

配置流程

主要步骤为:

  1. 在服务器生成所需的两对密钥和CA证书,然后将CA、服务器公私钥放到Rabbit目录下并添加配置文件
  2. 将服务器公钥转换为Java专用JKS格式,然后将客户端私钥和JKS一起拷贝到本地,通过Java或者Springboot-amqp连接

生成CA证书、客户端密钥、服务器密钥

目前网络上常用两种生成工具:

  1. CMF-AMQP-Configuration(https://github.com/Berico-Technologies/CMF-AMQP-Configuration.git)
  2. tls-gen(https://github.com/rabbitmq/tls-gen.git)

本文基于CMF-AMQP-Configuration来生成SSL自签名文件

git clone https://github.com/Berico-Technologies/CMF-AMQP-Configuration.git
cd CMF-AMQP-Configuration/ssl
sh setup_ca.sh CANAME # CA名称任意
sh make_server_cert.sh rabbitmq-server SERVER_PASS # 密码任意
sh create_client_cert.sh rabbitmq-client CLIENT_PASS # 密码任意

生成的目录如下

ca #保存CA证书
server # 保存服务器密钥
client # 保存客户端密钥

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

复制文件到服务器/etc/rabbitmq/ssl
1. cacert.pem # CA证书文件
2. server.cert.pem # 服务器公钥
3. server.key.pem # 服务器私钥

在这里插入图片描述

然后使用JDK的Keytool工具,将服务器公钥转换为JKS格式

keytool -import -alias rabbitmq-server \
  -file server/rabbitmq-server.cert.pem \
  -keystore rabbitmqStore -storepass STORE_PASS 
  # -alias后为别称,-file后是服务端公钥位置,-keystore后是输出JSK证书位置 STORE_PASS任意

在这里插入图片描述

拷贝客户端需要文件
1. rabbitmqTrustStore # JKS格式服务器公钥文件
2. client/client.key.pem  # 客户端私钥

在这里插入图片描述

Docker部署RabbitMQ

先启动rabbitmq拷贝/etc/rabbitmq/下的
enabled_plugins、conf.d、rabbitmq.conf(如果存在的话)拷贝
到/home/mapping/rabbitmq/etc/rabbitmq下,然后删除容器,继续执行下面的操作

docker pull rabbitmq:3.8.12-management
docker run --restart=unless-stopped --name rabbitmq -p 5672:5672 -p 5671:5671 -p 15672:15672 \
-v /home/mapping/rabbitmq/etc/rabbitmq:/etc/rabbitmq \
-e RABBITMQ_DEFAULT_USER=admin \
-e RABBITMQ_DEFAULT_PASS=Rabbit@123 \
-d rabbitmq:3.8.12-management
添加SSL插件

部署完成后,docker exec进入容器,添加插件才能启用SSL验证的功能

rabbitmq-plugins enable rabbitmq_auth_mechanism_ssl
#查看启动结果
rabbitmq-plugins list
添加证书登录用户
#用户名要与客户端证书名称前缀一致
rabbitmqctl add_user 'rabbitmq-client' PASS_WORD
#添加权限 不要忘记了
rabbitmqctl set_permissions -p "/" "rabbitmq-client" ".*" ".*" ".*"

创建etc/rabbitmq/rabbitmq.conf(如果不存在)

listeners.tcp.default = 5672
listeners.tcp = none # 关闭非tls的端口
listeners.ssl.default=5671
ssl_options.cacertfile=/etc/rabbitmq/ssl/cacert.pem
ssl_options.certfile=/etc/rabbitmq//ssl/rabbitmq-server.cert.pem
ssl_options.keyfile=/etc/rabbitmq//ssl/rabbitmq-server.key.pem

ssl_options.verify=verify_peer
ssl_options.fail_if_no_peer_cert=true
ssl_options.versions.1=tlsv1.2
ssl_options.versions.2=tlsv1.1

ssl_options.ciphers.1 = ECDHE-ECDSA-AES256-GCM-SHA384
ssl_options.ciphers.2 = ECDHE-RSA-AES256-GCM-SHA384
ssl_options.ciphers.3 = ECDHE-ECDSA-AES256-SHA384
ssl_options.ciphers.4 = ECDHE-RSA-AES256-SHA384
ssl_options.ciphers.5 = ECDHE-ECDSA-DES-CBC3-SHA
ssl_options.ciphers.6 = ECDH-ECDSA-AES256-GCM-SHA384
ssl_options.ciphers.7 = ECDH-RSA-AES256-GCM-SHA384
ssl_options.ciphers.8 = ECDH-ECDSA-AES256-SHA384
ssl_options.ciphers.9 = ECDH-RSA-AES256-SHA384
ssl_options.ciphers.10 = DHE-DSS-AES256-GCM-SHA384
ssl_options.ciphers.11= DHE-DSS-AES256-SHA256
ssl_options.ciphers.12 = AES256-GCM-SHA384
ssl_options.ciphers.13 = AES256-SHA256
ssl_options.ciphers.14 = ECDHE-ECDSA-AES128-GCM-SHA256
ssl_options.ciphers.15 = ECDHE-RSA-AES128-GCM-SHA256
ssl_options.ciphers.16 = ECDHE-ECDSA-AES128-SHA256
ssl_options.ciphers.17 = ECDHE-RSA-AES128-SHA256
ssl_options.ciphers.18 = ECDH-ECDSA-AES128-GCM-SHA256
ssl_options.ciphers.19= ECDH-RSA-AES128-GCM-SHA256
ssl_options.ciphers.20 = ECDH-ECDSA-AES128-SHA256
ssl_options.ciphers.21 = ECDH-RSA-AES128-SHA256
ssl_options.ciphers.22 = DHE-DSS-AES128-GCM-SHA256
ssl_options.ciphers.23 = DHE-DSS-AES128-SHA256
ssl_options.ciphers.24 = AES128-GCM-SHA256
ssl_options.ciphers.25 = AES128-SHA256
ssl_options.ciphers.26 = ECDHE-ECDSA-AES256-SHA
ssl_options.ciphers.27 = ECDHE-RSA-AES256-SHA
ssl_options.ciphers.28 = DHE-DSS-AES256-SHA
ssl_options.ciphers.29 = ECDH-ECDSA-AES256-SHA
ssl_options.ciphers.30 = ECDH-RSA-AES256-SHA
ssl_options.ciphers.31= AES256-SHA
ssl_options.ciphers.32 = ECDHE-ECDSA-AES128-SHA
ssl_options.ciphers.33 = ECDHE-RSA-AES128-SHA
ssl_options.ciphers.34 = DHE-DSS-AES128-SHA
ssl_options.ciphers.35 = DHE-DSS-AES128-SHA256
ssl_options.ciphers.36 = ECDH-ECDSA-AES128-SHA
ssl_options.ciphers.37 = ECDH-RSA-AES128-SHA
ssl_options.ciphers.38 = AES128-SHA

auth_mechanisms.1 = EXTERNAL # 使用rabbit-ssl插件进行认证 首先要配置SSL插件
#auth_mechanisms.2 = PLAIN # 明文
#auth_mechanisms.3 = AMQPLAIN # 明文
management.tcp.port = 15672
ssl_cert_login_from = common_name # 使用证书种的CN作为登录用户名
loopback_users.guest = false
default_pass = Rabbit@123
default_user = admin

验证证书有效性

# 进入生成的目录下,通过证书连接rabbit
openssl s_client -connect localhost:5671 \
  -cert client/rabbitmq-client.cert.pem \
  -key client/rabbitmq-client.key.pem \
  -CAfile ca/cacert.pem

遇到问题&注意事项

  1. 部署在服务器上的rabbit 5671端口一直无法telnet通,因为忘记配防火墙的5671端口了。。。
  2. rabbit忘记创建证书登录用户,无法连接
  3. 没有配置ssl_cert_login_from,就无法从证书用户进行登录
  4. 不能在本地生成然后上传到服务器,必须在服务器生成,下载客户端密钥到本地

Springboot连接测试

主要配置文件

server.port=8085
#基础配置请根据实际配置,此种配置方式无需配置用户名与密码
spring.rabbitmq.host=
#ssl协议端口
spring.rabbitmq.port=5671
spring.rabbitmq.virtual-host=/
#启用rabbitmq客户端SSL连接
spring.rabbitmq.ssl.enabled=true
#客户端PKCS12证书及密码
spring.rabbitmq.ssl.key-store=classpath:ssl/rabbitmq-client.keycert.p12
spring.rabbitmq.ssl.key-store-password=123456
#公钥证书及类型
spring.rabbitmq.ssl.trust-store=classpath:ssl/rabbitmqStore
spring.rabbitmq.ssl.trust-store-password=123456
spring.rabbitmq.ssl.trust-store-type=JKS
#不校验主机名,默认开启会导致连接失败
spring.rabbitmq.ssl.verify-hostname=false

在这里插入图片描述

参考文献

[1] https://blog.csdn.net/u012586326/article/details/122373289
[2] https://blog.freessl.cn/ssl-cert-format-introduce/
[3] https://www.cnblogs.com/ybyn/p/13959135.html
[4] https://www.rabbitmq.com/ssl.html

11408考研休息室
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
rabbitmq连接认证_rabbitmq – ACCESS_REFUSED – 使用身份验证机制PLAIN拒绝登录
weixin_39644614的博客
12-19 1736
我在我的Windows 7机器上安装了“erlang”和“rabbitmq”.但是当我尝试运行此代码时,我得到一个例外.package com.rabbitmq;import com.rabbitmq.client.Channel;import com.rabbitmq.client.Connection;import com.rabbitmq.client.ConnectionFactory;p...
amqp的一些配置信息,规范
08-05
rabbit的AMQP协议介绍
RabbitMQ开启TLS支持,解决AMQP明文身份验证漏洞
创意程序员的博客
02-26 2113
随着网络通信安全性的日益重要,我们不难发现,在企业级应用,数据传输的安全防护措施已经成为不可或缺的一环。近期,不少使用RabbitMQ的开发团队收到了关于“远程主机允许明文身份验证”的漏洞警告。为确保敏感信息的安全传递,启用TLS(Transport Layer Security)支持成为了关键的解决方案。本文将详细介绍如何在RabbitMQ启用TLS加密,以及在SpringBoot应用配置TLS并设置EXTERNAL认证,通过实际操作步骤解决明文身份验证漏洞。
RabbitMq配置ssl
m178643的博客
11-01 2771
RabbitMq配置ssl生成证书生成证书签发机构生成服务端公钥,和私钥生成客户端公钥,和私钥生成客户端需要的证书证书生成结束步骤检查修改RabbitMQ的SSL配置重启rabbitmq服务 接下来会简述证书生成,ssl端口开放 ##下载SSL证书生成器 git clone https://github.com/Berico-Technologies/CMF-AMQP-Configuration.git 生成证书 cd CMF-AMQP-Configuration/ssl 配置当前目录下的openssl
rabbitmq 配置安全加密的ssl连接
zhujun2008的博客
09-28 1255
Greyfoss 为自定义的证书签发机构名称,该脚本会生成一个ca目录,存储证书颁发机构的信息以及签发的证书# 生成服务端公钥和私钥 rabbit-server为生成的密钥前缀 123456为该秘钥自定义的密码# 生成客户端公钥和私钥#使用java的keytool工具生成客户端需要的证书,用以支持服务端和客户端进行通信,生成该证书需要提前安装配置java环境,此处默认已正确安装java环境-import 将已签名数字证书导入密钥库。
rabbitmq-auth-tls-certificate:通过AMQPSauprèsd'unservur Ra​​bbitMQ进行的身份证明
02-22
描述 可以通过RabbitMQAMQPS来获得卓越的身份证明。 客户四方的CN认证(通用名称), zenika 。 树状 构成要素说明的说明: conf重组: rabbitmq.config RabbitMQ配置rabbitmq.config进行配置。 enabled_plugins deféfinissantles插件( rabbitmq_auth_mechanism_ssl )。 testca自动签名证书。 server regroupe未certificat张问题德testca目的地杜serveur RabbitMQ的,AINSI阙LES元件AYANT PERMIS生成SA(requête等谱号PRIVEE)。 client重组: 未certificat张问题德testca目的地D'未客户AMQP,AINSI阙LES元件AYANT PERMIS生成SA(requêt
禁用AMQP配置明文身份验证机制--漏洞解决方法
热门推荐
zmlsh的专栏
10-06 1万+
RABBITMQ漏洞描述: 远程高级消息队列协议(AMQP)服务支持一种或多种允许以明文形式发送凭据的身份验证机制。 修改建议: 禁用AMQP配置明文身份验证机制。 具体操作: 1.查看mq环境 rabbitmqctl environment 可看到, auth_mechanisms默认的配置为PLAIN和AMQPLAIN。 2.修改mq配置文件 配置文件位置: 本文 Ubuntu 配置文件在/etc/rabbitmq/rabbitmq.conf目录。 [{rab...
【亲测可用】禁用AMQP配置明文身份验证机制-漏洞解决方法(RabbitMQ开启SSL附SpringBoot连接测试代码)
拾级而上
01-07 9037
被安全扫描出RabbitMQ 远程主机允许明文身份验证漏洞,本文教你解决它!
AMQP简单介绍
aican_yu的专栏
11-17 586
当前各种应用大量使用异步消息模型,并随之产生众多消息间件产品及协议,标准的不一致使应用与间件之间的耦合限制产品的选择,并增加维护成本。AMQP是一个提供统一消息服务的应用层标准协议,基于此协议的客户端与消息间件可传递消息,并不受客户端/间件不同产品,不同开发语言等条件的限制。          当然这种降低耦合的机制是基于与上层产品,语言无关的协议。AMQP协议是一种二进制协议,提供
springboot+rabbitMQ+websocket
07-28
在提供的`talk`目录下,可能包含的是这个简单聊天应用的源代码,包括Spring Boot配置RabbitMQ的使用以及WebSocket的实现。你可以通过阅读和分析这些代码来学习如何将这三者结合在一起。其,你可能会看到`...
springboot + rabbitmq 如何实现消息确认机制(经验)
08-18
SpringBoot + RabbitMQ 实现消息确认机制经验 SpringBootRabbitMQ 是当前流行的微服务架构常用的技术栈,然而在实际开发,消息确认机制的实现却是一个爹的点。今天,我将与大家分享小编在实际开发...
SpringBoot+redis+RabbitMq整合实例
07-13
6. 测试和优化:编写测试用例,验证Redis和RabbitMQ的集成是否正常工作。根据实际性能和需求,可以调整Redis的缓存策略,或者RabbitMQ的消息处理方式,比如采用批量消费、死信队列等优化策略。 "sky-shopping"可能...
基于 SpringBoot+Mybatis+Redis+RabbitMQ 秒杀系统 .zip
05-24
开发者可以通过这个项目深入理解 SpringBoot 的自动配置、Mybatis 的映射机制、Redis 的数据结构应用以及 RabbitMQ 的消息队列原理。同时,这也是一个很好的实战项目,有助于提升 Java 开发者的技能和经验。
【漏洞修复】AMQP Cleartext认证漏洞,配置EXTERNAL鉴权方式
11-24 8529
文章目录问题描述RabbitMQ鉴权机制验证rabbitMQ服务配置修改rabbitmq.config服务器 部署docker部署 问题描述 漏洞编号 76311 风险级别 风险 远程主机正在运行允许明文身份验证的服务。 远程高级消息队列协议(AMQP)服务支持一个或多个身份验证机制,允许以清晰的方式发送凭据。 解决办法 在AMQP配置禁用明文认证机制RabbitMQ鉴权机制 RabbitMQ 支持多种 SASL 鉴权机制。服务器内置了三种:PLAIN、AMQPLAIN 和 RABBIT-CR
【漏洞修复】docker 环境下,AMQP Cleartext认证漏洞,rabbitmq明文漏洞修复,超详细
yyysilence的博客
07-04 2872
sh create_client_cert.sh rabbitmq-client 654321 #654321为自定义密码。# -alias后为别称,-file后是服务端公钥位置,-keystore后是输出JSK证书位置 STORE_PASS任意。sh make_server_cert.sh rabbitmq-server 123456 #123456为自定义密码。部署完成后,docker exec进入容器,在容器添加插件才能启用SSL验证的功能。3. server.key.pem # 服务器私钥。
stmp明文认证问题
好记性不如烂笔头
09-24 2557
错误:-ERR Plaintext authentication disallowed on non-secure (SSL/TLS) connections. 需要修改dovecot主配置文件/etc/dovecot/dovecot.conf: protocols = imap pop3 lmtp login_trusted_networks = 0.0.0.0/0
rabbitmq的鉴权
祭夏的专栏
10-16 2957
详细内容可以查看(http://www.rabbitmq.com/access-control.html)Rabbitmq有两种鉴权方式:一种是利用内置数据库鉴权。另一种是rabbitmq-auth-backend-http鉴权插件来实现后端鉴权。 Rabbitmq,Authentication 和 authorisation是有区别的,authentication是“identifying w
MQ - AMQP 协议详解
代码能让我保持心静,心静能让我保持动力
07-05 4180
一、AMQP 历史​ 消息队列(Message Queue)起源于一位来自 MIT 的硬件设计教育工作者 Vivek Ranadivé 设想了一种通用软件总线,就像主板上的总线那样,供其他应用程序接入。Vivek在1983年成立了 Teknekron,高盛等公司作为第一批用户再金融交易采用了 Teknekron的软件,同时还诞生了第一代消息队列软件:Teknekron 的 The Informa...
后端之路——最规范、便捷的spring boot工程配置
最新发布
m0_73991249的博客
07-05 934
上一篇我们学了阿里云OSS的使用,那么我们为了方便使用OSS来上传文件,就创建了一个【util】类,里面有一个【AliOSSUtils】类,虽然本人觉得没啥不方便的,但是黑马视频又说这样还是存在不便维护和管理问题,我一时也还是想不明白但是想了一下确实,因为我们只是学了简单文件的OSS上传,但其实还有很多复杂的比如:那么我们肯定要对应不同的上传,再生成对应很多的阿里云OSS上传的【工具类】,那么每一个类里都得配置一遍基本配置信息,那么加入有一天这个accessKey被我禁用了,或者换了一个bucketName
那如何解决禁用AMQP配置明文身份验证机制的问题呢
06-09
要解决禁用AMQP配置明文身份验证机制的问题,您需要执行以下步骤: 1. 生成客户端证书:您可以使用openssl或其他工具生成客户端证书。确保证书已正确生成,并且必须包含RabbitMQ的TLS证书。 2. 配置RabbitMQ:在RabbitMQ配置文件,您需要设置auth_mechanisms.3 = EXTERNAL,以启用客户端证书身份验证机制。 3. 配置客户端应用程序:在客户端应用程序,您需要指定证书和密钥的位置,并设置相应的连接选项,以便与RabbitMQ建立安全连接。 4. 测试连接:完成上述步骤后,您可以尝试连接RabbitMQ并进行测试。如果连接成功,您应该可以在RabbitMQ的日志文件看到相应的记录。如果连接失败,您可以检查RabbitMQ和客户端应用程序的日志文件,以确定问题的根本原因。 总之,禁用AMQP配置明文身份验证机制需要进行额外的配置和安全措施,以确保连接的安全性。如果您遇到问题,需要仔细检查每个步骤,并确保所有配置和设置都正确。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值