【亲测可用】禁用AMQP配置中的明文身份验证机制-漏洞解决方法(RabbitMQ开启SSL附SpringBoot连接测试代码)
楔子
近期公司程序被安全扫描出 远程主机允许明文身份验证 中风险漏洞,查了下修复方案发现网上的都是把 RabbitMQ 的认证机制改了,然后也没提供客户端连接测试结果,底下全是登录失败的回帖……
想到 RabbitMQ 官方提供了SSL连接方式,而且 SpringBoot AMQP 也支持 SSL 连接,所以尝试以下将配置RabbitMQ开启SSL 并使用 Demo 测试连接。
最终修复了这个漏洞,同时确保了 Java 客户端连接正常。
本文基于 CentOS 7 + Git + OpenSSL + 包管理器安装的 RabbitMQ,需要读者提前安装好,其他方式也可变通参考本文。
本文经过与读者评论交互已调整多次,其修订日志如下:
- 2022-01-07 21:59 写文章时此配置还未安全扫描复测,如果测试通过,本人将更新此文章状态为验证通过。
- 2022-01-11 14:36 复测不通过,修正文章,调整认证机制为
EXTERNAL与 插件认证方式,等待复测。- 2022-01-11 17:28 复测通过。
- 2023-01-16 20:15 添加修改生成证书有效期10年步骤,默认证书1年有效期。
- 2024-05-24 16:04 原生成SSL证书github仓库已删除,找到备库并fork修改证书有效期100年、生成证书加密算法sha1调整为sha256,rabbitmq.config添加禁用5672端口配置,目录结构简化,简化操作步骤等。(保姆级,不来点个赞吗?!)
生成证书
#克隆生成证书的仓库到当前目录 git clone --depth 1 https://github.com/hellxz/CMF-AMQP-Configuration.git cd CMF-AMQP-Configuration/ssl #生成ca证书,“MyRabbitMQCA”为自定义名称,名称任意。在当前目录下生成ca目录 sh setup_ca.sh MyRabbitMQCA #生成服务端证书,第一个参数是服务端证书前缀,第二个参数是密码。密码任意,在当前目录下生成server目录 sh make_server_cert.sh rabbitmq-server 123456 #生成客户端证书,第一个参数是客户端证书前缀(同时也是rabbitmq用户名),第二个参数是密码。**密码任意需要记录**,在当前目录下生成client目录 sh create_client_cert.sh rabbitmq-client 654321 #生成JKS格式服务端公钥证书到client目录。其中-alias后为别称,-file后是服务端公钥位置,-keystore后是输出JSK证书位置,此处相对路径 keytool -import -alias rabbitmq-server \ -file server/rabbitmq-server.cert.pem \ -keystore client/rabbitmqTrustStore -storepass changeit #输入y回车
以上生成的客户端证书的CN(common name)为
rabbitmq-client,此名称会被 RabbitMQ服务端作为登录名使用,需要提前创建此用户以及给予权限(文中后边有该步骤)。
将以下证书下载到本地,可区分目录存放。
服务端证书:
ca/cacert.pem #CA证书
server/rabbitmq-server.cert.pem #服务端公钥
server/rabbitmq-server.key.pem #服务端私钥
客户端证书:
client/rabbitmq-client.keycert.p12 #客户端PKCS12证书
client/rabbitmqTrustStore #服务端JKS格式公钥
记录生成证书步骤中生成客户端证书时的密码,客户端应用程序需要。
服务端配置
上传证书
创建目录/etc/rabbitmq/ssl
mkdir /etc/rabbitmq/ssl
将本地的服务端证书上传到RabbitMQ所在服务器的/etc/rabbitmq/ssl目录。
生成配置文件
在RabbitMQ服务端生成配置文件/etc/rabbitmq/rabbitmq.config,如果该文件已存在请先备份!
cat >/etc/rabbitmq/rabbitmq.config<<EOF [{rabbit, [ {tcp_listeners, []}, {ssl_listeners, [5671]}, {ssl_options, [ {cacertfile, "/etc/rabbitmq/ssl/cacert.pem"}, {certfile, "/etc/rabbitmq/ssl/rabbitmq-server.cert.pem"}, {keyfile, "/etc/rabbitmq/ssl/rabbitmq-server.key.pem"}, {verify, verify_peer}, {fail_if_no_peer_cert, true}, {ciphers, [ "ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES256-GCM-SHA384", "ECDHE-ECDSA-AES256-SHA384","ECDHE-RSA-AES256-SHA384", "ECDHE-ECDSA-DES-CBC3-SHA","ECDH-ECDSA-AES256-GCM-SHA384", "ECDH-RSA-AES256-GCM-SHA384","ECDH-ECDSA-AES256-SHA384", "ECDH-RSA-AES256-SHA384","DHE-DSS-AES256-GCM-SHA384", "DHE-DSS-AES256-SHA256","AES256-GCM-SHA384", "AES256-SHA256","ECDHE-ECDSA-AES128-GCM-SHA256", "ECDHE-RSA-AES128-GCM-SHA256","ECDHE-ECDSA-AES128-SHA256", "ECDHE-RSA-AES128-SHA256","ECDH-ECDSA-AES128-GCM-SHA256", "ECDH-RSA-AES128-GCM-SHA256","ECDH-ECDSA-AES128-SHA256", "ECDH-RSA-AES128-SHA256","DHE-DSS-AES128-GCM-SHA256", "DHE-DSS-AES128-SHA256","AES128-GCM-SHA256", "AES128-SHA256","ECDHE-ECDSA-AES256-SHA", "ECDHE-RSA-AES256-SHA","DHE-DSS-AES256-SHA", "ECDH-ECDSA-AES256-SHA","ECDH-RSA-AES256-SHA", "AES256-SHA","ECDHE-ECDSA-AES128-SHA", "ECDHE-RSA-AES128-SHA","DHE-DSS-AES128-SHA", "ECDH-ECDSA-AES128-SHA","ECDH-RSA-AES128-SHA","AES128-SHA" ]} ]}, {auth_mechanisms,['EXTERNAL']}, {ssl_cert_login_from,common_name} ]}]. EOF
主要配置项说明:
ssl_listeners指定 SSL协议的端口号,官方文档5671ssl_optionsSSL 认证配置项
cacertfileCA 证书位置certfile公钥证书位置keyfile密钥证书位置verify
verify_peer客户端与服务端互相发送证书verify_none禁用证书交换与校验fail_if_no_peer_cert
true不接受没证书的客户端连接false接受没证书的客户端连接ciphers加密器(这个翻译不知道算不算对?)auth_mechanisms认证机制,此处使用EXTERNAL表示只使用插件提供认证功能ssl_cert_login_from使用证书中的哪些信息登录,如果不配置这项是走的DN,配置走CN
common_nameCN名称
启用ssl插件
#启用rabbitmq_auth_mechanism_ssl作为EXTERNAL认证机制的实现 rabbitmq-plugins enable rabbitmq_auth_mechanism_ssl #查看启动结果 rabbitmq-plugins list
重启RabbitMQ
#关闭MQ服务 rabbitmqctl stop #后台启动 rabbitmq-server -detached
添加证书登录用户与授权(重要)
不添加mq用户名,会导致客户端连不上的。
#添加证书登录用户(用户名要与客户端证书名称前缀一致),密码任意 rabbitmqctl add_user 'rabbitmq-client' '2a55f70a841f18b97c3a7db939b7adc9e34a0f1b' #给rabbitmq-client用户虚拟主机/的所有权限,如需其他虚拟主机替换/ rabbitmqctl set_permissions -p "/" "rabbitmq-client" ".*" ".*" ".*"
验证开启 SSL 是否成功
使用 Rabbitmq 自带的诊断工具查看端口监听状态
rabbitmq-diagnostics listeners
除了命令行查看外,还可以通过管理界面查看,不过只能确定开启了 SSL 监听,无法确认证书是否通过验证,需要通过代码进行连接测试。
SpringBoot代码连接测试
代码结构
只是使用 start.spring.io 生成的 Maven 工程,依赖了 WEB 和 AMQP
2022.02.10更新:由于读者反应测试代码行为不正常(原因是目录结构放得不对!),现已将测试代码已上传本人GitHub https://github.com/hellxz/rabbitmq-ssl-demo , 使用时注意替换客户端证书文件(rabbitmq-client.keycert.p12 与 rabbitmqTrustStore)!
代码及配置
pom.xml
<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.5.0</version> <relativePath /> <!-- lookup parent from repository --> </parent> <groupId>com.example</groupId> <artifactId>demo</artifactId> <version>0.0.1-SNAPSHOT</version> <name>demo</name> <description>Demo project for Spring Boot</description> <properties> <java.version>1.8</java.version> </properties> <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-amqp</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- https://mvnrepository.com/artifact/org.apache.commons/commons-lang3 --> <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-lang3</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> </dependency> <dependency> <groupId>org.springframework.amqp</groupId> <artifactId>spring-rabbit-test</artifactId> <scope>test</scope> </dependency> </dependencies> <build> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> </plugins> </build> </project>
启动类 DemoApplication.java
package com.hellxz.rabbitmq.ssl; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; @SpringBootApplication public class DemoApplication { public static void main(String[] args) { SpringApplication.run(DemoApplication.class, args); } }
RabbitMQ客户端配置类 RabbitFanoutExchangeConfig.java
package com.hellxz.rabbitmq.ssl; import javax.annotation.PostConstruct; import org.apache.commons.lang3.BooleanUtils; import org.springframework.amqp.core.Binding; import org.springframework.amqp.core.BindingBuilder; import org.springframework.amqp.core.FanoutExchange; import org.springframework.amqp.core.Queue; import org.springframework.amqp.rabbit.connection.CachingConnectionFactory; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.beans.factory.annotation.Qualifier; import org.springframework.boot.autoconfigure.amqp.RabbitProperties; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import com.rabbitmq.client.DefaultSaslConfig; @Configuration public class RabbitFanoutExchangeConfig { public static final String FANOUT_EXCHANGE = "fanout.exchange"; public static final String FANOUT_QUEUE1 = "fanout.queue1"; @Bean(name = FANOUT_EXCHANGE) public FanoutExchange fanoutExchange() { return new FanoutExchange(FANOUT_EXCHANGE, true, false); } @Bean(name = FANOUT_QUEUE1) public Queue fanoutQueue1() { return new Queue(FANOUT_QUEUE1, true, false, false); } @Bean public Binding bindingSimpleQueue1(@Qualifier(FANOUT_QUEUE1) Queue fanoutQueue1, @Qualifier(FANOUT_EXCHANGE) FanoutExchange fanoutExchange) { return BindingBuilder.bind(fanoutQueue1).to(fanoutExchange); } @Autowired RabbitProperties rabbitProperties; @Autowired CachingConnectionFactory cachingConnectionFactory; /** * 解决安全扫描 AMQP明文登录漏洞 仅当rabbitmq启用ssl时并且配置证书时,显式设置EXTERNAL认证机制<br/> * EXTERNAL认证机制使用X509认证方式,服务端读取客户端证书中的CN作为登录名称,同时忽略密码 */ @PostConstruct public void rabbitmqSslExternalPostConstruct() { boolean rabbitSslEnabled = BooleanUtils.toBoolean(rabbitProperties.getSsl().getEnabled()); boolean rabbitSslKeyStoreExists = rabbitProperties.getSsl().getKeyStore() != null; if (rabbitSslEnabled && rabbitSslKeyStoreExists) { cachingConnectionFactory.getRabbitConnectionFactory().setSaslConfig(DefaultSaslConfig.EXTERNAL); } } }
这里添加
@PostConstruct作的处理是因为维护人员觉得把它做成可配置的收益不大,大部分人都不需要。
发消息测试类 TestController.java
package com.hellxz.rabbitmq.ssl; import org.springframework.amqp.core.Message; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; @RestController public class TestController { @Autowired RabbitMQSenderService rabbitMQSenderService; @GetMapping("/test") public void sendMsg() { Message msg = new Message("hello world".getBytes()); try { rabbitMQSenderService.send(RabbitFanoutExchangeConfig.FANOUT_EXCHANGE, RabbitFanoutExchangeConfig.FANOUT_QUEUE1, msg); } catch (Exception e) { e.printStackTrace(); } } }
发消息服务 RabbitMQSenderService.java
package com.hellxz.rabbitmq.ssl; import java.util.UUID; import org.springframework.amqp.core.Message; import org.springframework.amqp.rabbit.connection.CorrelationData; import org.springframework.amqp.rabbit.core.RabbitTemplate; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Component; @Component public class RabbitMQSenderService { @Autowired private RabbitTemplate rabbitTemplate; public void send(String exchange, String routingkey, Message message) { CorrelationData correlationId = new CorrelationData(UUID.randomUUID().toString()); System.out.println("start send msg : " + message); rabbitTemplate.convertAndSend(exchange, routingkey, message, correlationId); System.out.println("end send msg : " + message); } }
消息接收者 RabbitMQReciver.java
package com.hellxz.rabbitmq.ssl; import org.springframework.amqp.rabbit.annotation.RabbitListener; import org.springframework.stereotype.Component; @Component class RabbitMQReciver { @RabbitListener(queues = RabbitFanoutExchangeConfig.FANOUT_QUEUE1) public void reciveLogAll(String msg) throws Exception { System.out.println("received msg:" + msg); } }
配置文件 application.properties
server.port=8085 #基础配置请根据实际配置,此种配置方式无需配置用户名与密码 spring.rabbitmq.host=192.168.56.104 #ssl协议端口 spring.rabbitmq.port=5671 spring.rabbitmq.virtual-host=/ #启用rabbitmq客户端SSL连接 spring.rabbitmq.ssl.enabled=true #客户端PKCS12证书,外部证书使用file替换classpath字样并调整为绝对路径 spring.rabbitmq.ssl.key-store=classpath:ssl/rabbitmq-client.keycert.p12 #客户端证书密码,如果生成证书时密码有变化则要替换 spring.rabbitmq.ssl.key-store-password=654321 #公钥证书及类型,外部证书使用file替换classpath字样并调整为绝对路径 spring.rabbitmq.ssl.trust-store=classpath:ssl/rabbitmqTrustStore spring.rabbitmq.ssl.trust-store-type=JKS #不校验主机名,默认开启会导致连接失败 spring.rabbitmq.ssl.verify-hostname=false
src/main/resources 下创建 ssl 目录,将 客户端证书和服务端 JKS 公钥复制到 src/main/resources/ssl 目录中。
执行代码验证
运行 DemoApplication.java,查看控制台是否有报错:
如图,提示创建连接成功,说明已经连接成功了。
启动成功的连接消息中 amqp://后的
guest并非真实的登录名称,仅仅是一个占位符
Created new connection: rabbitConnectionFactory#476ec9d0:0/SimpleConnection@474c9131 [delegate=amqp://guest@192.168.56.104:5671/, localPort= 7956] 实际访问的用户可以在服务端日志处察看到,笔者已测试删除 guest 用户后重新连接测试,测试通过服务端打印真实客户端名称。
我们再调用 TestController.java 中定义的 /test 接口。
curl localhost:8085/test
消息发送与消费成功。
参考
- https://www.rabbitmq.com/access-control.html#server-mechanism-configuration
- https://www.rabbitmq.com/access-control.html#client-mechanism-configuration
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/troubleshooting-ssl.html
- https://github.com/spring-projects/spring-boot/issues/6719#issuecomment-818858283
- https://github.com/spring-projects/spring-boot/issues/6719#issuecomment-259268574
- https://groups.google.com/g/rabbitmq-users/c/HouahhIBEdM?pli=1
- https://github.com/rabbitmq/rabbitmq-auth-mechanism-ssl#common-name
- https://www.rabbitmq.com/access-control.html#passwords-and-shell-escaping
- 加密器部分参考 https://www.cnblogs.com/ybyn/p/13959135.html
本文同步于本人博客园(hellxz.cnblogs.com) 与 CSDN(https://blog.csdn.net/u012586326),禁止转载。
本文作者:东北小狐狸
本文链接:https://www.cnblogs.com/hellxz/p/15776987.html
版权声明:本作品采用自由转载-非商用-非衍生-保持署名 (CC BY-NC-ND 3.0)许可协议进行许可。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步