Debian如何防止RabbitMQ被攻击

Debian上保护RabbitMQ的实用清单

一 身份与访问控制

• 删除或禁用默认账户：生产环境不要保留guest/guest，可删除或仅允许本地访问。示例：sudo rabbitmqctl delete_user guest（或按需限制来源）。
• 创建专用管理员并设置强密码：示例：sudo rabbitmqctl add_user admin Str0ngP@ss!，sudo rabbitmqctl set_user_tags admin administrator。
• 按“用户 + 虚拟主机 + 资源”实施最小权限：创建隔离的vhost（如**/prod**、/dev），并按需授予 configure/write/read 三类权限，遵循最小权限原则。
• 可选增强认证：对接企业目录时启用LDAP或OAuth2插件，统一身份管理与审计。

二 加密与网络边界

• 启用TLS/SSL加密通信：配置 AMQP 监听5671，管理界面使用15671/HTTPS；证书建议由可信CA签发（测试可用自签名）。示例配置：
  listeners.ssl.default = 5671
  ssl_options.cacertfile = /etc/rabbitmq/ca_cert.pem
  ssl_options.certfile = /etc/rabbitmq/server_cert.pem
  ssl_options.keyfile = /etc/rabbitmq/server_key.pem
  可按需开启客户端证书校验：ssl_options.verify = verify_peer、ssl_options.fail_if_no_peer_cert = true（双向认证）。
• 防火墙仅放通必要端口：建议仅开放5671（AMQP/SSL）与15671（管理/HTTPS），禁止明文5672对外暴露。示例（UFW）：sudo ufw allow 5671/tcp、sudo ufw allow 15671/tcp、sudo ufw deny 5672/tcp、sudo ufw reload。
• 管理界面访问控制：启用rabbitmq_management后，优先通过反向代理或网络ACL限制来源IP；如部署在公网，务必使用HTTPS并限制管理端口访问。

三 运行环境与加固

• 持续更新与补丁：保持RabbitMQ与Erlang为最新稳定版，及时应用安全修复，降低已知漏洞风险。
• 系统资源与稳定性：设置文件描述符等资源上限，避免异常连接或消息堆积导致资源耗尽。
• 日志与监控：开启并定期审计日志，结合Prometheus + Grafana等监控连接数、队列积压、节点健康等指标，及时发现异常行为。
• 内部端口最小化暴露：仅在必要时开放集群通信端口（如4369、25672），并置于受控网络或主机防火墙之后。

四 快速加固命令示例

• 身份与权限
  • 删除默认账户：sudo rabbitmqctl delete_user guest
  • 新建管理员：sudo rabbitmqctl add_user admin Str0ngP@ss!；sudo rabbitmqctl set_user_tags admin administrator
  • 新建 vhost：sudo rabbitmqctl add_vhost /prod
  • 最小权限示例：sudo rabbitmqctl set_permissions -p /prod app-user "^app-.*" "^logs|orders" "^app-.*"
• 加密与网络
  • 启用管理插件：sudo rabbitmq-plugins enable rabbitmq_management
  • UFW 放通：sudo ufw allow 5671/tcp；sudo ufw allow 15671/tcp；sudo ufw deny 5672/tcp；sudo ufw reload
• 验证
  • 重启并检查：sudo systemctl restart rabbitmq-server；sudo rabbitmqctl status（确认监听5671）