RabbitMQ中的漏洞：禁用amqp配置中的明文身份验证机制

Question

如何在amqp配置中禁用明文身份验证机制？

Answer 1

在不涉及TSL详细信息的情况下，您必须：

• 通过将配置条目保留为空{tcp_listeners, []}，停止使用non-TSL port 5672，从而禁用普通身份验证
• 通过添加配置条目{ssl_listeners, [5671]}来启用TSL

• 进一步配置TSL support details on server，例如

    {ssl_options, [{cacertfile,"/path/to/ca_certificate_bundle.pem"},
                   {certfile,"/path/to/server_certificate.pem"},
                   {keyfile,"/path/to/server_key.pem"},
                   {depth, 2},
                   {verify,verify_peer},
                   {fail_if_no_peer_cert,false}]}
  

• 确保您的客户端API支持TSL进行对等验证（以及保护流量）。在这里，您有.NET和Java客户端API的详细信息。

注释：

• 对等验证和密码（用于证书）受支持并且是可选的。您可以拥有无​​密码证书并启用或禁用对等验证。
• 某些客户端对证书类型和内容有特定要求