因安全需要,对项目中使用的rabbitmq进行安全加固,需要对传输通道配置ssl;在nessus扫描过程中报弱密码算法漏洞,需要解决。
于是,在当前的试验环境中(rabbitmq3.6.8+erlang R16B3)查看ssl算法套件,结果如下:
其中有一些算法是弱密钥算法,无法通过nessus扫描。
尝试通过配置ssl_option.cipher来解决,
增加配置项:
结果发现配置不生效,查找原因发现可能是erlang版本不支持配置cipher;
于是开始升级版本,选择rabbitmq 3.7.9 +erlang R21
重新配置:
使用sslyze扫描,结果如下:
问题解决。
sslyze安装方法:
pip install --upgrade setuptools
pip install --upgrade sslyze
扫描命令:
sslyze --tlsv1_2 --cert=/etc/rabbitmq/ssl/client/cert.pem --key=/etc/rabbitmq/ssl/client/key.pem --ca_file=/etc/rabbitmq/ssl/rmqca/cacert.pem localhost:5671