RabbitMQ安全加固配置基线

2 2 2 2 42.1访问控制 42.2账号和密码 52.3服务精细化授权 5本配置基线适用于的RabbitMQ数据库，主要涉及RabbitMQ数据库安全配置方面的基本要求，用于指导安全例行工作、新系统入网安全检查等场合。在未特别说明的情况下，均适用于所有运行的RabbitMQ数据库。根据目前RabbitMQ数据库的安全现状，综合参考安全运维专家的意见，结合相关规范性文件指引，制定适合的基线配置规范。规范性引用文件：GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》GB/T28453-2012《信息安全技术信息系统安全管理评估要求》GB/T25063-2010《信息安全技术服务器安全测评要求》GB/Z24364-2009《信息安全技术信息安全风险管理指南》GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》GB/T20270-2006《信息安全技术网络基础安全技术要求》GB/T20271-2006《信息安全技术信息系统通用安全技术要求》GB/T20269-2006《信息安全技术信息系统安全管理要求》YD/T2701-2014《电信网和互联网安全防护基线配置要求及检测要求_数据库》结合网络和信息系统建设情况，考虑安全配置项影响的范围，结合以往工作经验，提出如下安全项目实施策略：基础项：实施安全基线能够明显提升安全水平，实施风险小，可操作性建议项：实施安全基线能够提升一定安全水平，具有一定风险，可操作性较强。配置类别1访问控制基础项2访问控制配置ssl证书基础项3账号和密码删除或修改默认的GUEST用户和密码基础项4访问控制开启http后台认证基础项5关闭RabbitMQ的webui插件基础项2.1访问控制2.1.1专职低权限用户启动RabbitMQ基线说明应以较低权限账号运行RabbitMQ服务创建了一个无home目录权限，且无法登录的普通账并以该账号运行RabbitMQ服务。输入top命令，查看RabbitMQ服务运行的账号该操作需要重启RabbitMQ才能生效。基线说明应该给RabbitrMQ服务配置SSL证书下载ssl证书打开rabbitmq.conf配置文件添加ssl_listeners和ssl_options配置项。查看rabbitmq配置文件2.2账号和密码基线说明应删除或修改rabbitmq默认的Guest用户和密码利用rabbitmqctl命令对GEST用户进行删除或者修改#检查是否有默认用户名guest该操作需要重启RabbitMQ才能生效。2.3服务精细化授权2.3.1开启HTTP后台认证基线说明启用HTTP后台认证需要使用rabbitmq_auth_backend_http插件，同时该插件还推荐配合rabbitmq_auth_backe缓存减轻授权认证服务器压力通过下面命令分别启用这两个插件：输入以下命令查看所有插件：基线说明RabbitMQ的webui插件存在一些安全漏洞面，可以关闭相应插件输入命令./rabbitmq-pluginsdisablerabbitmq_management。在浏览器访问:15