因安全需要,對項目中使用的rabbitmq進行安全加固,需要對傳輸通道配置ssl;在nessus掃描過程中報弱密碼算法漏洞,需要解決。
於是,在當前的試驗環境中(rabbitmq3.6.8+erlang R16B3)查看ssl算法套件,結果如下:
其中有一些算法是弱密鑰算法,無法通過nessus掃描。
嘗試通過配置ssl_option.cipher來解決,
增加配置項:
結果發現配置不生效,查找原因發現可能是erlang版本不支持配置cipher;
於是開始升級版本,選擇rabbitmq 3.7.9 +erlang R21
重新配置:
使用sslyze掃描,結果如下:
問題解決。
sslyze安裝方法:
pip install --upgrade setuptools
pip install --upgrade sslyze
掃描命令:
sslyze --tlsv1_2 --cert=/etc/rabbitmq/ssl/client/cert.pem --key=/etc/rabbitmq/ssl/client/key.pem --ca_file=/etc/rabbitmq/ssl/rmqca/cacert.pem localhost:5671