【漏洞修复】docker 环境下,AMQP Cleartext认证漏洞,rabbitmq明文漏洞修复,超详细

最新推荐文章于 2024-05-11 01:10:37 发布
最新推荐文章于 2024-05-11 01:10:37 发布
阅读量2.9k 收藏 1
点赞数 3
文章标签: docker rabbitmq 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyysilence/article/details/131538799
版权

docker rabbitmq amqp明文验证 漏洞

目录

1、拷贝docker配置文件到本地

2、重新启动容器:

3、添加SSL插件:

4、查看启动结果

5、基于CMF-AMQP-Configuration来生成SSL自签名文件

6、使用JDK的Keytool工具,将服务器公钥转换为JKS格式

7、创建etc/rabbitmq/rabbitmq.conf(如果不存在)

8、添加证书登录用户

9、验证证书有效性

1、拷贝docker配置文件到本地

通过docker ps 命令,查看CONTAINER ID

如:

docker cp 1ff:/etc/rabbitmq/conf.d /etc/rabbitmq/

docker cp 1ff:/etc/rabbitmq/enabled_plugins /etc/rabbitmq/

2、重新启动容器:

如:

docker run -dit --name rabbitmqserver -v /etc/rabbitmq:/etc/rabbitmq -e RABBITMQ_DEFAULT_USER=root -e RABBITMQ_DEFAULT_PASS=123456 -p 15672:15672 -p 5672:5672 -p 5671:5671 rabbitmq:management

3、添加SSL插件:

部署完成后,docker exec进入容器,在容器中添加插件才能启用SSL验证的功能

进入docker:

docker exec -it f12 /bin/sh

rabbitmq-plugins enable rabbitmq_auth_mechanism_ssl

4、查看启动结果

rabbitmq-plugins list

[E*] rabbitmq_auth_mechanism_ssl 表示成功

rabbitmq-plugins list
Listing plugins with pattern ".*" ...
 Configured: E = explicitly enabled; e = implicitly enabled
 | Status: * = running on rabbit@f2d5bbd9c4ac
 |/
[  ] rabbitmq_amqp1_0                  3.10.5
[  ] rabbitmq_auth_backend_cache       3.10.5
[  ] rabbitmq_auth_backend_http        3.10.5
[  ] rabbitmq_auth_backend_ldap        3.10.5
[  ] rabbitmq_auth_backend_oauth2      3.10.5
[E*] rabbitmq_auth_mechanism_ssl       3.10.5
[  ] rabbitmq_consistent_hash_exchange 3.10.5
[  ] rabbitmq_event_exchange           3.10.5
[  ] rabbitmq_federation               3.10.5
[  ] rabbitmq_federation_management    3.10.5
[  ] rabbitmq_jms_topic_exchange       3.10.5
[E*] rabbitmq_management               3.10.5
[e*] rabbitmq_management_agent         3.10.5
[  ] rabbitmq_mqtt                     3.10.5
[  ] rabbitmq_peer_discovery_aws       3.10.5
[  ] rabbitmq_peer_discovery_common    3.10.5
[  ] rabbitmq_peer_discovery_consul    3.10.5
[  ] rabbitmq_peer_discovery_etcd      3.10.5
[  ] rabbitmq_peer_discovery_k8s       3.10.5
[E*] rabbitmq_prometheus               3.10.5
[  ] rabbitmq_random_exchange          3.10.5
[  ] rabbitmq_recent_history_exchange  3.10.5
[  ] rabbitmq_sharding                 3.10.5
[  ] rabbitmq_shovel                   3.10.5
[  ] rabbitmq_shovel_management        3.10.5
[  ] rabbitmq_stomp                    3.10.5
[  ] rabbitmq_stream                   3.10.5
[  ] rabbitmq_stream_management        3.10.5
[  ] rabbitmq_top                      3.10.5
[  ] rabbitmq_tracing                  3.10.5
[  ] rabbitmq_trust_store              3.10.5
[e*] rabbitmq_web_dispatch             3.10.5
[  ] rabbitmq_web_mqtt                 3.10.5
[  ] rabbitmq_web_mqtt_examples        3.10.5
[  ] rabbitmq_web_stomp                3.10.5
[  ] rabbitmq_web_stomp_examples       3.10.5

5、基于CMF-AMQP-Configuration来生成SSL自签名文件

下载CMF-AMQP-Configuration

git clone https://github.com/Berico-Technologies/CMF-AMQP-Configuration.git

进入CMF-AMQP-Configuration/ssl目录

cd CMF-AMQP-Configuration/ssl

修改配置,生成证书10年有效期

sed -i "s/valid=365/valid=3650/g" create_client_cert.sh

sed -i "s/valid=365/valid=3650/g" make_server_cert.sh

sed -i "s/valid=365/valid=3650/g" setup_ca.sh

sed -i "s/default_days = 365/default_days = 3650/g" openssl.cnf

生成ca证书,“MyRabbitMQCA”为自定义名称,名称任意。在当前目录下生成ca目录

sh setup_ca.sh testbmsca

生成服务端证书,第一个参数是服务端证书前缀,第二个参数是密码。密码任意,在当前目录下生成server目录

sh make_server_cert.sh rabbitmq-server 123456 #123456为自定义密码

生成客户端证书,第一个参数是客户端证书前缀(同时也是rabbitmq用户名),第二个参数是密码。密码任意,在当前目录下生成client目录

sh create_client_cert.sh rabbitmq-client 654321  #654321为自定义密码

复制文件到服务器/etc/rabbitmq/ssl

1. cacert.pem         # CA证书文件

2. server.cert.pem  # 服务器公钥

3. server.key.pem  # 服务器私钥

6、使用JDK的Keytool工具,将服务器公钥转换为JKS格式

keytool -import -alias rabbitmq-server \

-file server/rabbitmq-server.cert.pem \

-keystore rabbitmqStore -storepass 123456@testbms

# -alias后为别称,-file后是服务端公钥位置,-keystore后是输出JSK证书位置 STORE_PASS任意

7、创建etc/rabbitmq/rabbitmq.conf(如果不存在)

#listeners.tcp.default = 5672 

listeners.tcp = none # 关闭非tls的端口

listeners.ssl.default=5671  # tls认证监听端口

ssl_options.cacertfile=/etc/rabbitmq/ssl/cacert.pem

ssl_options.certfile=/etc/rabbitmq//ssl/rabbitmq-server.cert.pem

ssl_options.keyfile=/etc/rabbitmq//ssl/rabbitmq-server.key.pem

ssl_options.verify=verify_peer

ssl_options.fail_if_no_peer_cert=true

ssl_options.versions.1=tlsv1.2

ssl_options.versions.2=tlsv1.3

ssl_options.ciphers.1 = ECDHE-ECDSA-AES256-GCM-SHA384

ssl_options.ciphers.2 = ECDHE-RSA-AES256-GCM-SHA384

ssl_options.ciphers.3 = ECDHE-ECDSA-AES256-SHA384

ssl_options.ciphers.4 = ECDHE-RSA-AES256-SHA384

ssl_options.ciphers.5 = ECDHE-ECDSA-DES-CBC3-SHA

ssl_options.ciphers.6 = ECDH-ECDSA-AES256-GCM-SHA384

ssl_options.ciphers.7 = ECDH-RSA-AES256-GCM-SHA384

ssl_options.ciphers.8 = ECDH-ECDSA-AES256-SHA384

ssl_options.ciphers.9 = ECDH-RSA-AES256-SHA384

ssl_options.ciphers.10 = DHE-DSS-AES256-GCM-SHA384

ssl_options.ciphers.11= DHE-DSS-AES256-SHA256

ssl_options.ciphers.12 = AES256-GCM-SHA384

ssl_options.ciphers.13 = AES256-SHA256

ssl_options.ciphers.14 = ECDHE-ECDSA-AES128-GCM-SHA256

ssl_options.ciphers.15 = ECDHE-RSA-AES128-GCM-SHA256

ssl_options.ciphers.16 = ECDHE-ECDSA-AES128-SHA256

ssl_options.ciphers.17 = ECDHE-RSA-AES128-SHA256

ssl_options.ciphers.18 = ECDH-ECDSA-AES128-GCM-SHA256

ssl_options.ciphers.19= ECDH-RSA-AES128-GCM-SHA256

ssl_options.ciphers.20 = ECDH-ECDSA-AES128-SHA256

ssl_options.ciphers.21 = ECDH-RSA-AES128-SHA256

ssl_options.ciphers.22 = DHE-DSS-AES128-GCM-SHA256

ssl_options.ciphers.23 = DHE-DSS-AES128-SHA256

ssl_options.ciphers.24 = AES128-GCM-SHA256

ssl_options.ciphers.25 = AES128-SHA256

ssl_options.ciphers.26 = ECDHE-ECDSA-AES256-SHA

ssl_options.ciphers.27 = ECDHE-RSA-AES256-SHA

ssl_options.ciphers.28 = DHE-DSS-AES256-SHA

ssl_options.ciphers.29 = ECDH-ECDSA-AES256-SHA

ssl_options.ciphers.30 = ECDH-RSA-AES256-SHA

ssl_options.ciphers.31= AES256-SHA

ssl_options.ciphers.32 = ECDHE-ECDSA-AES128-SHA

ssl_options.ciphers.33 = ECDHE-RSA-AES128-SHA

ssl_options.ciphers.34 = DHE-DSS-AES128-SHA

ssl_options.ciphers.35 = DHE-DSS-AES128-SHA256

ssl_options.ciphers.36 = ECDH-ECDSA-AES128-SHA

ssl_options.ciphers.37 = ECDH-RSA-AES128-SHA

ssl_options.ciphers.38 = AES128-SHA

auth_mechanisms.1 = EXTERNAL # 使用rabbit-ssl插件进行认证 首先要配置SSL插件

#auth_mechanisms.2 = PLAIN # 明文

#auth_mechanisms.3 = AMQPLAIN # 明文

management.tcp.port = 15672

ssl_cert_login_from = common_name # 使用证书种的CN作为登录用户名

loopback_users.guest = false

重启动容器

进入容器查看运行环境:rabbitmqctl environment

8、添加证书登录用户

用户名要与客户端证书名称前缀一致

rabbitmqctl add_user 'rabbitmq-client' 'wsajg5df'

添加权限 不要忘记了

rabbitmqctl set_permissions -p "/" "rabbitmq-client" "." "." ".*"

9、验证证书有效性

openssl s_client -connect localhost:5671 \

-cert client/rabbitmq-client.cert.pem \

-key client/rabbitmq-client.key.pem \

-CAfile ca/cacert.pem

 

yyysilence
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
漏洞修复AMQP Cleartext认证漏洞,配置EXTERNAL鉴权方式
11-24 8590
文章目录问题描述RabbitMQ鉴权机制验证rabbitMQ服务配置修改rabbitmq.config服务器 部署docker部署 问题描述 漏洞编号 76311 风险级别 中风险 远程主机正在运行允许明文身份验证的服务。 远程高级消息队列协议(AMQP)服务支持一个或多个身份验证机制,允许以清晰的方式发送凭据。 解决办法 在AMQP配置中禁用明文认证机制。 RabbitMQ鉴权机制 RabbitMQ 支持多种 SASL 鉴权机制。服务器中内置了三种:PLAIN、AMQPLAIN 和 RABBIT-CR
敏感信息泄露总结
goddemon
03-15 1万+
一.源代码泄露 二.服务器导致的泄露 Apache类泄露 样例文件泄露 /examples/servlets/servlet/CookieExample /examples/servlets/servlet/RequestHeadersExample /examples/jsp/snp/snoop.jsp /examples/async/async1 cookie泄露 IIS泄露 典型iis短文件名 https://github.com/lijiejie/IIS_shortname_Scanner To
2024年敏感信息泄露总结_rabbitmq漏洞(2),最新大厂网络安全校招面试经验汇总
最新发布
2401_84264692的博客
05-11 680
概念:是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。概念:是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。默认端口是5601。
常用的30+种未授权访问漏洞汇总
qq_50854662的博客
09-17 5340
常用的30+种未授权访问漏洞汇总
生命在于学习——未授权访问漏洞
易水哲的博客
09-01 1万+
未授权访问漏洞的学习。
记录RabbitMQ使用的一个bug
qq_44128460的博客
06-13 2072
记录RabbitMQ使用过程的bug,出现bug条件:一是使用默认的vhost名字 / ,二是采用nginx作为管理端的代理转发
禁用AMQP配置中的明文身份验证机制(包含Springboot结果测试+踩坑)
u013551615的博客
08-13 4469
禁用AMQP配置中的明文身份验证机制
项目部署-docker 容器 Nginx 配置 防止漏洞
weixin_36877698的博客
07-13 946
漏洞名称:Web服务器HTTP头信息公开、默认的nginx HTTP服务器设置、nginx HTTP服务器检测、默认的nginx HTTP服务器设置
Docker暴露2375端口,引起安全漏洞
02-26
我现在给大家介绍整个事情的来龙去脉,并告诉小伙伴们,怎么修复这个漏洞。为了实现集群管理,Docker提供了远程管理接口。DockerDaemon作为守护进程,运行在后台,可以执行发送到管理接口上的Docker命令。正是因为...
log4j漏洞靶场docker-compose.zip
01-14
在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与...
基于 Docker 开发的:在线漏洞靶场。.zip
01-16
在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与...
docker安装rabbitmq3.8集群-3台-详细笔记文档-带安装包
07-16
docker安装rabbitmq3.8集群-3台-详细笔记文档-带安装包
RabbitMQ的bug解决
w_rcss的博客
01-04 1669
兄弟有个RabbitMQ的bug需要我帮忙: 启动报错如下: Error:unable to connect to node rabbit@localhost: nodedown 提示很到位:本机没有节点,建议开启一个节点 因为是启动报错,所以直接kill重启 # 查询rabbitmq的进程 ps -ef | grep rabbitmq # kill -9 杀死pid kill -9 pid #重启rabbitmq服务 rabbitmq-server # ps -ef |grep rabbit
【亲测可用】禁用AMQP配置中的明文身份验证机制-漏洞解决方法(RabbitMQ开启SSL附SpringBoot连接测试代码)
拾级而上
01-07 9225
被安全扫描出RabbitMQ 远程主机允许明文身份验证漏洞,本文教你解决它!
禁用AMQP配置中的明文身份验证机制--漏洞解决方法
热门推荐
zmlsh的专栏
10-06 1万+
RABBITMQ漏洞描述: 远程高级消息队列协议(AMQP)服务支持一种或多种允许以明文形式发送凭据的身份验证机制。 修改建议: 禁用AMQP配置中的明文身份验证机制。 具体操作: 1.查看mq环境 rabbitmqctl environment 可看到, auth_mechanisms默认的配置为PLAIN和AMQPLAIN。 2.修改mq配置文件 配置文件位置: 本文 Ubuntu 配置文件在/etc/rabbitmq/rabbitmq.conf目录。 [{rab...
vulhub漏洞复现四_celery
weixin_44193247的博客
01-05 2339
vulhub漏洞复现练习篇
ActiveMQ 反序列化漏洞复现(CVE-2015-5254)
oiadkt的博客
04-14 521
ActiveMQ 反序列化漏洞复现(CVE-2015-5254)
未授权访问漏洞总结
LuckySec
03-24 4799
前言:这篇文章主要收集一些常见的未授权访问漏洞。未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 0x01 未授权漏洞预览 Active MQ 未授权访问 Atlassian Crowd 未授权访问 CouchDB 未授权访问 Docker 未授权访问 Dubbo 未授权访问 Druid 未授权访问 Elasticsearch 未授权访问 FTP 未授权访问 Hadoop 未授权访问 JBoss 未授权访

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值