我有一个正在运行的 RabbitMQ 3.7.7-management 映像实例。它启用了 rabbitmq 管理插件,并根据文档将其配置为使用 HTTPS:
management.listener.port = 15671
management.listener.ssl = true
management.listener.ssl_opts.cacertfile = /path/to/cacert.pem
management.listener.ssl_opts.certfile = /path/to/cert.pem
management.listener.ssl_opts.keyfile = /path/to/key.pem
management.listener.ssl_opts.fail_if_no_peer_cert = false
management.listener.ssl_opts.versions.1 = tlsv1.2
当我使用 testssl.sh 测试工具评估 TLS 设置时,SWEET32漏洞测试失败:
Testing vulnerabilities
...
SWEET32 (CVE-2016-2183, CVE-2016-6329) VULNERABLE, uses 64 bit block ciphers
...
OpenVAS框架也抱怨:
漏洞检测结果
'Vulnerable' cipher suites accepted by this service via the TLSv1.2 protocol:
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32)
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32)
TLS_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32)
解决方案类型:缓解
The configuration of this services should be changed so that it does not accept the listed cipher suites anymore.
是否可以配置 RabbitMQ 管理插件将使用哪些密码套件?对于 RabbitMQ 来说这是可能的,但查看 rabbitmq_management.schema 似乎对于管理插件来说这是不可能的。还是有其他方法可以修复漏洞?
您必须使用advanced.config文件才能执行此操作。我假设您已经使用您显示的设置创建了/etc/rabbitmq/rabbitmq.conf。使用这些内容创建/etc/rabbitmq/advanced.config文件并重新启动 RabbitMQ:
[
{rabbitmq_management, [
{listener, [
{ssl_opts, [
{ciphers, [
%% CIPHERS GO HERE
]}
]}
]}
]}
].
该设置应合并到rabbitmq.conf中指定的内容中。您可以在/var/lib/rabbitmq/...中检查生成的配置文件
如果这不起作用,请跟进邮件列表。
注意:RabbitMQ 团队监控rabbitmq-users邮件列表,并且只偶尔回答 StackOverflow 上的问题。