1. 修改默认凭据
RabbitMQ默认的guest用户(密码guest)仅允许本地访问,且是攻击者的常见目标。需创建新用户并删除默认用户:
# 创建新用户(替换为强密码)
rabbitmqctl add_user myuser SecurePassword123!
# 赋予管理员权限(根据需求调整标签,如"monitoring"仅监控)
rabbitmqctl set_user_tags myuser administrator
# 设置用户权限(针对虚拟主机"/",允许配置、写入、读取)
rabbitmqctl set_permissions -p / myuser ".*" ".*" ".*"
# 删除默认用户(可选但强烈推荐)
rabbitmqctl delete_user guest
2. 启用管理插件并限制访问
管理插件提供Web界面,需通过防火墙限制访问IP,避免暴露在公网:
# 启用管理插件(默认端口15672)
rabbitmq-plugins enable rabbitmq_management
# 仅允许特定IP访问管理界面(如公司内网192.168.1.0/24)
rabbitmqctl set_parameter ip_filter {"ip_filter", [{"192.168.1.0/24", "allow"}, {"0.0.0.0/0", "deny"}]}
3. 配置防火墙规则
使用firewalld开放必要端口(AMQP默认5672、管理界面15672),拒绝其他流量:
# 开放端口(--permanent表示永久生效)
firewall-cmd --permanent --zone=public --add-port=5672/tcp # AMQP协议
firewall-cmd --permanent --zone=public --add-port=15672/tcp # 管理界面
# 重新加载防火墙配置
firewall-cmd --reload
4. 启用SSL/TLS加密通信
加密客户端与服务器之间的通信,防止数据泄露:
# 生成自签名证书(生产环境建议使用CA签发的证书)
openssl req -new -x509 -days 365 -nodes -out /etc/rabbitmq/ssl/rabbitmq.crt -keyout /etc/rabbitmq/ssl/rabbitmq.key
# 设置证书权限(仅RabbitMQ用户可读)
chown rabbitmq:rabbitmq /etc/rabbitmq/ssl/rabbitmq.*
chmod 600 /etc/rabbitmq/ssl/rabbitmq.*
# 修改配置文件(/etc/rabbitmq/rabbitmq.conf),添加SSL配置
echo """
listeners.ssl.default = 5671
ssl_options.cacertfile = /etc/rabbitmq/ssl/rabbitmq.crt
ssl_options.certfile = /etc/rabbitmq/ssl/rabbitmq.crt
ssl_options.keyfile = /etc/rabbitmq/ssl/rabbitmq.key
ssl_options.verify = verify_peer
ssl_options.fail_if_no_peer_cert = true
""" | sudo tee -a /etc/rabbitmq/rabbitmq.conf
# 重启服务使配置生效
systemctl restart rabbitmq-server
5. 强化认证机制
避免使用弱密码,启用强认证(如LDAP集成,适用于企业环境):
# 启用LDAP认证插件
rabbitmq-plugins enable rabbitmq_auth_backend_ldap
# 配置LDAP参数(示例,需根据实际LDAP服务器调整)
echo """
auth_backends.1 = ldap
ldap_server = ldap://ldap.example.com
ldap_port = 389
ldap_use_tls = false
ldap_username = cn=admin,dc=example,dc=com
ldap_password = admin_password
ldap_base = dc=example,dc=com
ldap_user_dn_pattern = cn=${username},ou=users,dc=example,dc=com
""" | sudo tee -a /etc/rabbitmq/rabbitmq.conf
# 重启服务
systemctl restart rabbitmq-server
6. 实施最小权限原则
为用户分配仅满足需求的权限,避免过度授权:
# 创建仅能访问特定虚拟主机(如"my_vhost")的用户
rabbitmqctl add_user devuser DevPassword123!
rabbitmqctl set_permissions -p my_vhost devuser ".*" ".*" ".*" # 允许配置、写入、读取
rabbitmqctl set_user_tags devuser monitoring # 仅监控权限(无管理权)
7. 定期更新与补丁管理
保持RabbitMQ及依赖组件(如Erlang)为最新版本,修复已知漏洞:
# 更新RabbitMQ和Erlang
sudo yum update rabbitmq-server erlang -y
# 重启服务应用更新
systemctl restart rabbitmq-server
8. 监控与日志记录
启用详细日志并定期分析,及时发现异常行为:
# 修改日志级别(/etc/rabbitmq/rabbitmq.conf)
echo """
log.console.level = info
log.file.level = debug
log.file.rotation.date = $D0
log.file.rotation.size = 50MB
""" | sudo tee -a /etc/rabbitmq/rabbitmq.conf
# 重启服务
systemctl restart rabbitmq-server
# 使用logrotate配置日志轮转(/etc/logrotate.d/rabbitmq)
echo """
/var/log/rabbitmq/*.log {
daily
rotate 7
compress
missingok
notifempty
create 640 rabbitmq rabbitmq
}
""" | sudo tee -a /etc/logrotate.d/rabbitmq
通过以上步骤,可显著提升RabbitMQ在CentOS环境中的安全性,防范未授权访问、数据泄露等风险。需根据实际业务需求调整配置(如SSL证书路径、LDAP服务器地址等)。