【问题标题】:Is it possible to configure cipher suites used by RabbitMQ Management Plugin?是否可以配置 RabbitMQ 管理插件使用的密码套件?
【发布时间】:2018-09-12 13:29:57
【问题描述】:

我有一个 RabbitMQ 3.7.7-management 图像正在运行。它启用了rabbitmq-management 插件,并根据documentation 配置为使用HTTPS:

management.listener.port = 15671
management.listener.ssl = true
management.listener.ssl_opts.cacertfile = /path/to/cacert.pem
management.listener.ssl_opts.certfile = /path/to/cert.pem
management.listener.ssl_opts.keyfile = /path/to/key.pem
management.listener.ssl_opts.fail_if_no_peer_cert = false
management.listener.ssl_opts.versions.1 = tlsv1.2

当我使用 testssl.sh 测试工具评估 TLS 设置时,SWEET32 漏洞的测试失败:

Testing vulnerabilities

...
SWEET32 (CVE-2016-2183, CVE-2016-6329)    VULNERABLE, uses 64 bit block ciphers
...

OpenVAS 框架也抱怨:

漏洞检测结果

'Vulnerable' cipher suites accepted by this service via the TLSv1.2 protocol:
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32)
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32)
TLS_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32)

解决方案类型:缓解

The configuration of this services should be changed so that it does not accept the listed cipher suites anymore.

是否可以配置 RabbitMQ 管理插件将使用哪些密码套件?对于RabbitMQ it is possible,但查看rabbitmq_management.schema 似乎对于管理插件来说这是不可能的。还是有其他方法可以修复漏洞?

【问题讨论】:

    标签: rabbitmq rabbitmq-management


    【解决方案1】:

    您必须使用advanced.config 文件来执行此操作。我假设您已经使用您显示的设置创建了/etc/rabbitmq/rabbitmq.conf。使用这些内容创建/etc/rabbitmq/advanced.config 文件并重新启动RabbitMQ:

    [
        {rabbitmq_management, [
            {listener, [
                {ssl_opts, [
                    {ciphers, [
                        %% CIPHERS GO HERE
                    ]}
                ]}
            ]}
        ]}
    ].
    

    该设置应合并到rabbitmq.conf 中指定的内容。你可以在/var/lib/rabbitmq/...查看生成的配置文件

    如果这不起作用,请跟进邮件列表。


    注意:RabbitMQ 团队监控the rabbitmq-users mailing list,并且有时只回答 StackOverflow 上的问题。

    【讨论】:

      猜你喜欢
      • 2018-06-02
      • 2021-07-27
      • 2020-11-20
      • 2019-01-14
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2017-09-19
      相关资源
      最近更新 更多