禁用AMQP配置中的明文身份验证机制--漏洞解决方法

RABBITMQ漏洞描述:

远程高级消息队列协议(AMQP)服务支持一种或多种允许以明文形式发送凭据的身份验证机制。

修改建议:

禁用AMQP配置中的明文身份验证机制。

具体操作:

1.查看mq环境

rabbitmqctl environment

可看到, auth_mechanisms默认的配置为PLAIN和AMQPLAIN。

2.修改mq配置文件

配置文件位置:

本文 Ubuntu 配置文件在 /etc/rabbitmq/rabbitmq.conf  目录。

[{rabbit, [{loopback_users, []},

{auth_mechanisms,['EXTERNAL']}

]}].

3.重启服务

systemctl restart rabbitmq-server.service

4.查看环境

问题解决。

nessus扫描结果

 

补充知识:

auth_mechanisms

RabbitMQ具有对各种SASL认证机制的可插拔支持。服务器内置了三种这样的机制:PLAIN,AMQPLAIN和RABBIT-CR-DEMO,以及EXTERNAL 可作为插件使用。您还可以通过 在插件中实现rabbit_auth_mechanism行为来实现自己的身份验证机制。有关常规插件开发的更多信息,请参阅插件开发指南。默认的配置为PLAIN和AMQPLAIN。
内置的机制:

  • PLAIN:这在RabbitMQ服务器和客户端默认启用,并且是大多数其他客户端的默认设置。
  • AMQPLAIN:由AMQP 0-8规范定义的PLAIN的非标准版本。这是在RabbitMQ服务器中默认启用的,并且是QPid的Python客户端的默认设置。
  • EXTERNAL:使用x509证书对等验证,客户端IP地址范围或类似的带外机制进行身份验证。这种机制通常由RabbitMQ插件提供。
  • RABBIT-CR-DEMO:机制具有与PLAIN相同的安全性,在RabbitMQ服务器中未默认启用。


作者:yanshaowen
链接:https://www.jianshu.com/p/294e0fde0676
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值