1. 修改默认凭据
RabbitMQ默认的guest用户(密码guest)仅允许本地访问,且是攻击者的常见目标。需创建新用户并删除默认用户:
# 创建新用户(替换为强密码) rabbitmqctl add_user myuser SecurePassword123! # 赋予管理员权限(根据需求调整标签,如"monitoring"仅监控) rabbitmqctl set_user_tags myuser administrator # 设置用户权限(针对虚拟主机"/",允许配置、写入、读取) rabbitmqctl set_permissions -p / myuser ".*" ".*" ".*" # 删除默认用户(可选但强烈推荐) rabbitmqctl delete_user guest 2. 启用管理插件并限制访问
管理插件提供Web界面,需通过防火墙限制访问IP,避免暴露在公网:
# 启用管理插件(默认端口15672) rabbitmq-plugins enable rabbitmq_management # 仅允许特定IP访问管理界面(如公司内网192.168.1.0/24) rabbitmqctl set_parameter ip_filter {"ip_filter", [{"192.168.1.0/24", "allow"}, {"0.0.0.0/0", "deny"}]} 3. 配置防火墙规则
使用firewalld开放必要端口(AMQP默认5672、管理界面15672),拒绝其他流量:
# 开放端口(--permanent表示永久生效) firewall-cmd --permanent --zone=public --add-port=5672/tcp # AMQP协议 firewall-cmd --permanent --zone=public --add-port=15672/tcp # 管理界面 # 重新加载防火墙配置 firewall-cmd --reload 4. 启用SSL/TLS加密通信
加密客户端与服务器之间的通信,防止数据泄露:
# 生成自签名证书(生产环境建议使用CA签发的证书) openssl req -new -x509 -days 365 -nodes -out /etc/rabbitmq/ssl/rabbitmq.crt -keyout /etc/rabbitmq/ssl/rabbitmq.key # 设置证书权限(仅RabbitMQ用户可读) chown rabbitmq:rabbitmq /etc/rabbitmq/ssl/rabbitmq.* chmod 600 /etc/rabbitmq/ssl/rabbitmq.* # 修改配置文件(/etc/rabbitmq/rabbitmq.conf),添加SSL配置 echo """ listeners.ssl.default = 5671 ssl_options.cacertfile = /etc/rabbitmq/ssl/rabbitmq.crt ssl_options.certfile = /etc/rabbitmq/ssl/rabbitmq.crt ssl_options.keyfile = /etc/rabbitmq/ssl/rabbitmq.key ssl_options.verify = verify_peer ssl_options.fail_if_no_peer_cert = true """ | sudo tee -a /etc/rabbitmq/rabbitmq.conf # 重启服务使配置生效 systemctl restart rabbitmq-server 5. 强化认证机制
避免使用弱密码,启用强认证(如LDAP集成,适用于企业环境):
# 启用LDAP认证插件 rabbitmq-plugins enable rabbitmq_auth_backend_ldap # 配置LDAP参数(示例,需根据实际LDAP服务器调整) echo """ auth_backends.1 = ldap ldap_server = ldap://ldap.example.com ldap_port = 389 ldap_use_tls = false ldap_username = cn=admin,dc=example,dc=com ldap_password = admin_password ldap_base = dc=example,dc=com ldap_user_dn_pattern = cn=${username},ou=users,dc=example,dc=com """ | sudo tee -a /etc/rabbitmq/rabbitmq.conf # 重启服务 systemctl restart rabbitmq-server 6. 实施最小权限原则
为用户分配仅满足需求的权限,避免过度授权:
# 创建仅能访问特定虚拟主机(如"my_vhost")的用户 rabbitmqctl add_user devuser DevPassword123! rabbitmqctl set_permissions -p my_vhost devuser ".*" ".*" ".*" # 允许配置、写入、读取 rabbitmqctl set_user_tags devuser monitoring # 仅监控权限(无管理权) 7. 定期更新与补丁管理
保持RabbitMQ及依赖组件(如Erlang)为最新版本,修复已知漏洞:
# 更新RabbitMQ和Erlang sudo yum update rabbitmq-server erlang -y # 重启服务应用更新 systemctl restart rabbitmq-server 8. 监控与日志记录
启用详细日志并定期分析,及时发现异常行为:
# 修改日志级别(/etc/rabbitmq/rabbitmq.conf) echo """ log.console.level = info log.file.level = debug log.file.rotation.date = $D0 log.file.rotation.size = 50MB """ | sudo tee -a /etc/rabbitmq/rabbitmq.conf # 重启服务 systemctl restart rabbitmq-server # 使用logrotate配置日志轮转(/etc/logrotate.d/rabbitmq) echo """ /var/log/rabbitmq/*.log { daily rotate 7 compress missingok notifempty create 640 rabbitmq rabbitmq } """ | sudo tee -a /etc/logrotate.d/rabbitmq 通过以上步骤,可显著提升RabbitMQ在CentOS环境中的安全性,防范未授权访问、数据泄露等风险。需根据实际业务需求调整配置(如SSL证书路径、LDAP服务器地址等)。
