总体结论
在 CentOS 上,RabbitMQ 的安全性与你的配置直接相关。默认安装具备基础访问控制(如仅允许本地的 guest/guest 登录)与可启用的管理插件,但若不修改默认凭据、开放到公网且未启用加密与细粒度权限,风险会显著上升。通过系统防火墙、最小权限、TLS 加密、审计日志与及时补丁,可将其提升到生产级安全水平。
常见风险与默认限制
- 默认账户 guest/guest 仅允许从 localhost 登录,远程使用会被拒绝;很多部署会新建管理员账户替代默认账户。
- 管理界面默认端口 15672,AMQP 默认端口 5672;若对公网开放且未做访问控制与加密,容易被滥用。
- 未启用 SSL/TLS 时,凭据与消息在网络中明文传输;启用后可显著降低被窃听与中间人攻击的风险。
- 日志默认写入 /var/log/rabbitmq/,若未集中采集与保护,审计追溯能力不足。
关键加固清单
- 身份与访问控制
- 删除或禁用默认 guest 账户,创建专用管理员与业务账户;按业务划分 vhost 并设置最小权限(配置、写、读)。
- 示例:
- rabbitmqctl add_user admin StrongPass!
- rabbitmqctl set_user_tags admin administrator
- rabbitmqctl add_vhost /prod
- rabbitmqctl set_permissions -p /prod admin “." ".” “.*”
- 传输加密
- 启用 SSL/TLS,使用可信 CA 签发证书,强制客户端校验;将 AMQP 端口改为 5671,管理端口保持 15672 或改为自定义端口并限制来源。
- 示例(rabbitmq.conf):
- listeners.ssl.default = 5671
- ssl_options.cacertfile = /path/ca_certificate.pem
- ssl_options.certfile = /path/server_certificate.pem
- ssl_options.keyfile = /path/server_key.pem
- ssl_options.verify = verify_peer
- ssl_options.fail_if_no_peer_cert = true
- 网络与端口
- 仅放通必要端口(如 5671/5672、15672)与可信来源网段;可使用 firewalld 或边界防火墙实现白名单。
- 示例:firewall-cmd --permanent --add-port=5671/tcp;firewall-cmd --permanent --add-port=15672/tcp;firewall-cmd --reload
- 管理界面可进一步限制可访问的 IP(如仅内网管理网段)。
- 审计与日志
- 启用并集中采集 /var/log/rabbitmq/ 日志,确保包含时间、用户、事件类型与结果等关键字段;定期备份与留存,防止未授权删除或篡改。
- 系统与软件
- 保持 RabbitMQ 与 Erlang 的版本更新与补丁;遵循最小安装与最小暴露面原则,关闭不必要的服务与端口。
等保与安全审计要点
- 访问控制策略应由授权主体统一配置,粒度达到主体为用户级、客体为功能模块级(RabbitMQ 通过用户与 vhost/权限可满足)。
- 安全审计需覆盖每个用户与重要安全事件,审计记录包含日期时间、用户、事件类型、成功与否等;需对审计日志进行保护、定期备份与留存(如可追溯至前六个月)。
- 入侵防范方面,遵循最小安装与关闭不需要的服务/高危端口;对管理终端的接入方式或来源网段进行限制(如仅限跳板机或管理网段访问管理界面)。
快速检查清单
- 已删除或禁用 guest 默认账户,所有管理员与业务账户使用强口令并启用 MFA(如通过外部身份源)。
- 仅放通 5671/5672/15672 等必要端口,来源为受控网段;管理界面限制可访问 IP。
- 已启用 TLS,证书由可信 CA 签发,客户端证书校验开启(生产建议)。
- 按业务划分 vhost 并实施最小权限;禁用未使用的插件与默认交换器。
- 审计日志集中采集与备份,留存不少于 6 个月;启用监控告警(失败登录、异常连接、策略变更等)。
- 定期更新 RabbitMQ/Erlang 与操作系统补丁,按计划进行配置审计与漏洞扫描。