0

我有一个 RabbitMQ 3.7.7 管理映像正在运行。它启用了rabbitmq-management插件,并根据文档配置为使用 HTTPS :

management.listener.port = 15671
management.listener.ssl = true
management.listener.ssl_opts.cacertfile = /path/to/cacert.pem
management.listener.ssl_opts.certfile = /path/to/cert.pem
management.listener.ssl_opts.keyfile = /path/to/key.pem
management.listener.ssl_opts.fail_if_no_peer_cert = false
management.listener.ssl_opts.versions.1 = tlsv1.2

当我使用testssl.sh测试工具评估 TLS 设置时,对SWEET32漏洞的测试失败:

Testing vulnerabilities

...
SWEET32 (CVE-2016-2183, CVE-2016-6329)    VULNERABLE, uses 64 bit block ciphers
...

OpenVAS框架也抱怨:

漏洞检测结果 

'Vulnerable' cipher suites accepted by this service via the TLSv1.2 protocol:
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32)
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32)
TLS_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32)

解决方案类型:缓解 

The configuration of this services should be changed so that it does not accept the listed cipher suites anymore.

是否可以配置 RabbitMQ 管理插件将使用哪些密码套件?对于RabbitMQ 是可能的,但是查看rabbitmq_management.schema似乎对于管理插件来说是不可能的。还是有其他方法可以修复漏洞?

4

1 回答 1

1

您将不得不使用该advanced.config文件来执行此操作。我假设您已经/etc/rabbitmq/rabbitmq.conf使用您显示的设置进行了创建。使用这些内容创建/etc/rabbitmq/advanced.config文件并重新启动 RabbitMQ:

[
    {rabbitmq_management, [
        {listener, [
            {ssl_opts, [
                {ciphers, [
                    %% CIPHERS GO HERE
                ]}
            ]}
        ]}
    ]}
].

该设置应合并到中指定的内容中rabbitmq.conf。您可以检查生成的配置文件/var/lib/rabbitmq/...

如果这不起作用,请跟进邮件列表。

注意: RabbitMQ 团队会监控邮件列表rabbitmq-users有时只会在 StackOverflow 上回答问题。

于 2018-09-13T23:42:05.867 回答