阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 4047阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】ActiveMQ未授权访问漏洞及加固

级别: 论坛版主
发帖
241
云币
478
漏洞描述: GXeAe}T  
ActiveMQ是目前较为流行的一款开源消息服务。默认情况下,ActiveMQ服务是没有配置安全参数,恶意人员利用默认配置弱点实现远程命令执行攻击,获取服务器权限,从而导致数据泄露事件发生。 +i)AS0?d  
.Ty,_3+{#p  
^ KAG|r9  
漏洞等级: ;X7i/D Q  
高危 =~,l4g\  
w6U @tW  
OOLe[P3J3  
漏洞利用方式: 5b fb!7-[i  
黑客可以直接在互联网远程利用获取服务器权限。 _;G=G5r  
/.ZaE+  
&7][@v  
漏洞修复方案: $c9=mjwH  
ActiveMQ的安全配置分为控制台安全配置和后台安全配置。控制台安全配置是指用户通过浏览器登录ActiveMQ管理界面,对ActiveMQ进行管理的一个安全配置;主要是添加用户和密码。后台安全配置是指程序通过ActiveMQ发送消息的一个安全配置。 P`2&*2,  
x7gjG"V  
x u,htx  
1.强烈建议不要将管理后台开放到互联网上,您可以使用ECS安全组策略做好访问控制,默认策略为拒绝所有通信,根据业务发布情况仅开放需要对外用户提供的服务,并控制好访问源IP。 JN^bo(kb  
ECS安全组配置手册 FNJ!IkuR  
2.ActiveMQ分为web控制台的安全配置和队列/主题服务的访问安全配置: 5&(3A|P2  
ActiveMQ web管理控制台安全设置 EIK*49b2  
4WG=m}X  
{G.jB/  
(1)修改端口号: u:5IjOb2^  
ActiveMQ的管理后台 http://localhost:8161/admin 默认用户名密码admin,admin DPeVKyjU  
默认端口8061,采用的JETTY服务器,所以修改端口和密码也是改JETTY的配置jetty.xml、jetty-realm.xml wT% "5:  
密码改为weigq 端口改为8191 }} #be  
注意: "G kI5!  
  1. <bean id="securityConstraint" class="org.eclipse.jetty.util.security.Constraint">
  2. <property name="name" value="BASIC" />
  3. <property name="roles" value="admin" />
  4. <property name="authenticate" value="true" />
  5. </bean>
<?4cWp|i  
第三个属性authenticate要为true. L5C2ng>  
端口部分: ] umZJZ#Y  
  1. <bean id="Server" class="org.eclipse.jetty.server.Server" init-method="start"
  2. destroy-method="stop">
  3. <property name="connectors">
  4. <list>
  5. <bean id="Connector" class="org.eclipse.jetty.server.nio.SelectChannelConnector">
  6. <property name="port" value="8191" />
  7. </bean>
25&nwz  
/.)2d8,  
u#!GMZJN  
(2)在修改用户名和密码(用户名改为parry,密码改成parry123) |Cq8%  
建议使用十位以上数字+字母+特殊符号的强密码 ; `$f2eB&   
j88=f#<  
控制台的登录用户名密码保存在conf/jetty-realm.properties文件中,内容如下: A?' H[2]w"  
  1. # username: password [,rolename ...]用户名和密码的格式:
  2. 用户名 : 密码 ,角色名
  3. parry: parrYd@#1w%6, admin
  4. user: user, user
?"u'#f_  
Z?C4a }  
}bCK  
- 设置连接ActiveMQ的用户名和密码 uZ<%kV1B  
1^tSn#j  
如果不设置ActiveMQ安全机制的话,任何人如果知道我们的ActiveMQ服务的IP、端口和消息地址,都可以接受和发送消息。 ^f6 {0  
推荐最简单的配置,在conf/activemq.xml文件的broker标签里的<systemUsage>标签前加入如下内容: {70 Ou}*  
  1. <plugins>
  2.     <simpleAuthenticationPlugin>
  3.       <users>
  4.           <authenticationUser username="parry" password="parry123" groups="users,admins"/>
  5.       </users>
  6.     </simpleAuthenticationPlugin>
{YBl:rMz  
c+wuC,  
注意:必须要在<systemUsage>标签前,否则ActiveMQ服务重启会报错。 >*{:l,LH  
HoV{Uzm  
所有配置完毕后重启ActiveMQ服务即可。 PJ0Jjoh"Y  
提示:为避免数据丢失,升级前请做好备份,或ECS建立硬盘快照。 oL)lyUVT  
XUf7yD  
J$#D:KaU:N  
配置方案有多种,详细可参考:http://activemq.apache.org/security.html =!YP$hfY  
>^ ;(c4C  
J+0/ :00(  
[ 此帖被正禾在2018-02-06 09:48重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)