RABBITMQ漏洞描述:
远程高级消息队列协议(AMQP)服务支持一种或多种允许以明文形式发送凭据的身份验证机制。
修改建议:
禁用AMQP配置中的明文身份验证机制。
具体操作:
1.查看mq环境
rabbitmqctl environment
可看到, auth_mechanisms默认的配置为PLAIN和AMQPLAIN。
2.修改mq配置文件
配置文件位置:
本文 Ubuntu 配置文件在 /etc/rabbitmq/
rabbitmq.conf 目录。
[{rabbit, [{loopback_users, []},
{auth_mechanisms,['EXTERNAL']}
]}].
3.重启服务
systemctl restart rabbitmq-server.service
4.查看环境
问题解决。
nessus扫描结果
补充知识:
auth_mechanisms
RabbitMQ具有对各种SASL认证机制的可插拔支持。服务器内置了三种这样的机制:PLAIN,AMQPLAIN和RABBIT-CR-DEMO,以及EXTERNAL 可作为插件使用。您还可以通过 在插件中实现rabbit_auth_mechanism行为来实现自己的身份验证机制。有关常规插件开发的更多信息,请参阅插件开发指南。默认的配置为PLAIN和AMQPLAIN。
内置的机制:
- PLAIN:这在RabbitMQ服务器和客户端默认启用,并且是大多数其他客户端的默认设置。
- AMQPLAIN:由AMQP 0-8规范定义的PLAIN的非标准版本。这是在RabbitMQ服务器中默认启用的,并且是QPid的Python客户端的默认设置。
- EXTERNAL:使用x509证书对等验证,客户端IP地址范围或类似的带外机制进行身份验证。这种机制通常由RabbitMQ插件提供。
- RABBIT-CR-DEMO:机制具有与PLAIN相同的安全性,在RabbitMQ服务器中未默认启用。
作者:yanshaowen
链接:https://www.jianshu.com/p/294e0fde0676
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。