禁用AMQP配置中的明文身份验证机制--漏洞解决方法

最新推荐文章于 2024-05-11 01:10:37 发布
最新推荐文章于 2024-05-11 01:10:37 发布
阅读量1.4w 收藏 10
点赞数
分类专栏: JAVA 文章标签: rabbitmq linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zmlsh/article/details/108940472
版权

RABBITMQ漏洞描述:

远程高级消息队列协议(AMQP)服务支持一种或多种允许以明文形式发送凭据的身份验证机制。

修改建议:

禁用AMQP配置中的明文身份验证机制。

具体操作:

1.查看mq环境

rabbitmqctl environment

可看到, auth_mechanisms默认的配置为PLAIN和AMQPLAIN。

2.修改mq配置文件

配置文件位置:

本文 Ubuntu 配置文件在 /etc/rabbitmq/rabbitmq.conf  目录。

[{rabbit, [{loopback_users, []},

{auth_mechanisms,['EXTERNAL']}

]}].

3.重启服务

systemctl restart rabbitmq-server.service

4.查看环境

问题解决。

nessus扫描结果

 

补充知识:

auth_mechanisms

RabbitMQ具有对各种SASL认证机制的可插拔支持。服务器内置了三种这样的机制:PLAIN,AMQPLAIN和RABBIT-CR-DEMO,以及EXTERNAL 可作为插件使用。您还可以通过 在插件中实现rabbit_auth_mechanism行为来实现自己的身份验证机制。有关常规插件开发的更多信息,请参阅插件开发指南。默认的配置为PLAIN和AMQPLAIN。
内置的机制:

  • PLAIN:这在RabbitMQ服务器和客户端默认启用,并且是大多数其他客户端的默认设置。
  • AMQPLAIN:由AMQP 0-8规范定义的PLAIN的非标准版本。这是在RabbitMQ服务器中默认启用的,并且是QPid的Python客户端的默认设置。
  • EXTERNAL:使用x509证书对等验证,客户端IP地址范围或类似的带外机制进行身份验证。这种机制通常由RabbitMQ插件提供。
  • RABBIT-CR-DEMO:机制具有与PLAIN相同的安全性,在RabbitMQ服务器中未默认启用。


作者:yanshaowen
链接:https://www.jianshu.com/p/294e0fde0676
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

zmlsh
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
解决AmqpAuthenticationFailureException: AMQP认证失败异常的正确解决方法,亲测有效!!!
小明的Java问道之路
03-28 1073
解决AmqpAuthenticationFailureException: AMQP认证失败异常的正确解决方法,亲测有效!!!
禁用AMQP配置明文身份验证机制(包含Springboot结果测试+踩坑)
u013551615的博客
08-13 4473
禁用AMQP配置明文身份验证机制
2024年敏感信息泄露总结_rabbitmq漏洞(2),最新大厂网络安全校招面试经验汇总
最新发布
2401_84264692的博客
05-11 686
概念:是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。概念:是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。默认端口是5601。
rabbitmq-auth-tls-certificate:通过AMQPSauprèsd'unservur Ra​​bbitMQ进行的身份证明
02-22
描述 可以通过RabbitMQAMQPS来获得卓越的身份证明。 客户四方的CN认证(通用名称), zenika 。 树状 构成要素说明的说明: conf重组: rabbitmq.config RabbitMQ配置rabbitmq.config进行配置。 enabled_plugins deféfinissantles插件( rabbitmq_auth_mechanism_ssl )。 testca自动签名证书。 server regroupe未certificat张问题德testca目的地杜serveur RabbitMQ的,AINSI阙LES元件AYANT PERMIS生成SA(requête等谱号PRIVEE)。 client重组: 未certificat张问题德testca目的地D'未客户AMQP,AINSI阙LES元件AYANT PERMIS生成SA(requêt
AMQP简单介绍
aican_yu的专栏
11-17 588
当前各种应用大量使用异步消息模型,并随之产生众多消息间件产品及协议,标准的不一致使应用与间件之间的耦合限制产品的选择,并增加维护成本。AMQP是一个提供统一消息服务的应用层标准协议,基于此协议的客户端与消息间件可传递消息,并不受客户端/间件不同产品,不同开发语言等条件的限制。          当然这种降低耦合的机制是基于与上层产品,语言无关的协议。AMQP协议是一种二进制协议,提供
AMQP协议笔记
Arthur的随笔
04-10 1979
AMQP Producer, Broker, Exchange, Routing Key, Binding, Queue, Comsumer channel vhost vhost有自己的名字空间和一组Exchange, 每个连接和一个vhost关连, 链接不可以直接切换到另一个vhost Exhange 类型: Fanout: 将消息路由到所有绑定的队列, 广播模
漏洞修复】AMQP Cleartext认证漏洞配置EXTERNAL鉴权方式
11-24 8597
文章目录问题描述RabbitMQ鉴权机制验证rabbitMQ服务配置修改rabbitmq.config服务器 部署docker部署 问题描述 漏洞编号 76311 风险级别 风险 远程主机正在运行允许明文身份验证的服务。 远程高级消息队列协议(AMQP)服务支持一个或多个身份验证机制,允许以清晰的方式发送凭据。 解决办法 在AMQP配置禁用明文认证机制RabbitMQ鉴权机制 RabbitMQ 支持多种 SASL 鉴权机制。服务器内置了三种:PLAIN、AMQPLAIN 和 RABBIT-CR
【亲测可用】禁用AMQP配置明文身份验证机制-漏洞解决方法RabbitMQ开启SSL附SpringBoot连接测试代码)
拾级而上
01-07 9229
被安全扫描出RabbitMQ 远程主机允许明文身份验证漏洞,本文教你解决它!
amqp的一些配置信息,规范
08-05
rabbit的AMQP协议介绍
漏洞扫描
Xiayuyuren_Study的博客
06-13 7388
【主机漏洞】HTTP TRACE / TRACK Methods Allowed 1、影响说明 TRACE and TRACK are HTTP methods that are used to debug web server connections. TRACE 和 TRACK方法是 web 服务器连接的调试方法. Servers supporting this method are sub...
RabbitMQ学习(二)——AMQP协议
Anumbrella
04-21 9243
在上一篇博客我们介绍了RabbitMQ的基本特性和安装,本篇博文将会对RabbitMQ的基本知识进行介绍。主要包括以下几点的知识介绍: AMQP协议介绍 RabbitMQ常用的基本术语 RabbitMQ的工作流程介绍 RabbitMQ是消息传输的间者,可以把它当做是一个消息代理,你把消息传送给它,它再把消息发送给具体的接收人。 这就像是邮局一样,你把邮件放入邮箱当,邮件员会把邮件...
JavaWeb程序代码安全漏洞处理!
08-03
NULL 博文链接:https://eddysoft.iteye.com/blog/1992468
AMQP-CPP是用于与RabbitMq消息间件通信的c++库
06-07
8. **错误处理**:AMQP-CPP提供了一套完整的错误处理机制,帮助开发者诊断和解决可能出现的问题。 在实际开发,使用AMQP-CPP可能涉及以下步骤: 1. **初始化和连接**:创建AMQP::Library实例,然后建立到RabbitMQ...
spring-cloud-config + spring-cloud-bus-amqp实现分布式集群配置动态更新
08-05
总结来说,Spring Cloud Config 和 Spring Cloud Bus AMQP 的组合,借助于RabbitMQ,为我们提供了一个强大的分布式配置管理和动态更新机制。通过这种解决方案,我们可以高效地管理大规模微服务集群的配置,提高系统...
amqp-client-5.1.2-API文档-文版.zip
06-26
赠送jar包:amqp-client-5.1.2.jar; 赠送原API文档:amqp-client-5.1.2-javadoc.jar; 赠送源代码:amqp-client-5.1.2-sources.jar; 赠送Maven依赖信息文件:amqp-client-5.1.2.pom; 包含翻译后的API文档:amqp-...
Authorization Mechanisms(认证机制)
马辉的专栏
04-05 1138
The first method is to use the section of the Web.config file to control access to filesand folders:authorization>allow roles=”Members”/>=”?”/>> This configuration only allows the users in th
rabbitmq连接认证_rabbitmq – ACCESS_REFUSED – 使用身份验证机制PLAIN拒绝登录
weixin_39644614的博客
12-19 1743
我在我的Windows 7机器上安装了“erlang”和“rabbitmq”.但是当我尝试运行此代码时,我得到一个例外.package com.rabbitmq;import com.rabbitmq.client.Channel;import com.rabbitmq.client.Connection;import com.rabbitmq.client.ConnectionFactory;p...
RabbitMQ 的基本使用和验证码
YKenan的博客
05-06 1629
RabbitMQ 的基本使用和验证码1. 基本使用1.1 导包和添加配置1.2 直接模式1.2.1 建立序列1.2.2 代码测试1.3 分裂模式1.3.1 添加序列和交换机1.3.2 代码测试1.4 主题模式1.4.1 添加序列和交换机1.4.2 代码测试2. 验证码2.1 创建一个代理模块2.1.1 导包2.1.2 配置2.1.3 建立 util 类 SendSms2.1.4 建立 Rabbit...
那如何解决禁用AMQP配置明文身份验证机制的问题呢
06-09
解决禁用AMQP配置明文身份验证机制的问题,您需要执行以下步骤: 1. 生成客户端证书:您可以使用openssl或其他工具生成客户端证书。确保证书已正确生成,并且必须包含在RabbitMQ的TLS证书。 2. 配置RabbitMQ:在RabbitMQ配置文件,您需要设置auth_mechanisms.3 = EXTERNAL,以启用客户端证书身份验证机制。 3. 配置客户端应用程序:在客户端应用程序,您需要指定证书和密钥的位置,并设置相应的连接选项,以便与RabbitMQ建立安全连接。 4. 测试连接:完成上述步骤后,您可以尝试连接RabbitMQ并进行测试。如果连接成功,您应该可以在RabbitMQ的日志文件看到相应的记录。如果连接失败,您可以检查RabbitMQ和客户端应用程序的日志文件,以确定问题的根本原因。 总之,禁用AMQP配置明文身份验证机制需要进行额外的配置和安全措施,以确保连接的安全性。如果您遇到问题,需要仔细检查每个步骤,并确保所有配置和设置都正确。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值