RabbitMQ安全加固配置基线 .docxVIP

Redis安全加固配置基线

redis数据库安全加固

redis数据库

目录

TOC\o1-2\h\z\u18361538531.概述 2

8977999811.1适用范围 2

11041768451.2规范依据 2

14940401881.3实施策略 2

19546389922.安全配置基线标准 4

15601903852.1访问控制 4

13444708252.2账号和密码 5

6982220412.3服务精细化授权 5

概述

适用范围

本配置基线适用于的RabbitMQ数据库，主要涉及RabbitMQ数据库安全配置方面的基本要求，用于指导安全例行工作、新系统入网安全检查等场合。

在未特别说明的情况下，均适用于所有运行的RabbitMQ数据库。

规范依据

根据目前RabbitMQ数据库的安全现状，综合参考安全运维专家的意见，结合相关规范性文件指引，制定适合的基线配置规范。

规范性引用文件：

GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》

GB/T28453-2012《信息安全技术信息系统安全管理评估要求》

GB/T25063-2010《信息安全技术服务器安全测评要求》

GB/Z24364-2009《信息安全技术信息安全风险管理指南》

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

GB/T20270-2006《信息安全技术网络基础安全技术要求》

GB/T20271-2006《信息安全技术信息系统通用安全技术要求》

GB/T20269-2006《信息安全技术信息系统安全管理要求》

YD/T2701-2014《电信网和互联网安全防护基线配置要求及检测要求_数据库》

实施策略

结合网络和信息系统建设情况，考虑安全配置项影响的范围，结合以往工作经验，提出如下安全项目实施策略：

基础项：实施安全基线能够明显提升安全水平，实施风险小，可操作性强。

建议项：实施安全基线能够提升一定安全水平，具有一定风险，可操作性较强。

序号

配置类别

基线名称

实施策略

1

访问控制

专职低权限用户启动RabbitMQ

基础项

2

访问控制

配置ssl证书

基础项

3

账号和密码

删除或修改默认的GUEST用户和密码

基础项

4

访问控制

开启http后台认证

基础项

5

服务精细化授权

关闭RabbitMQ的webui插件

基础项

安全配置基线标准

访问控制

专职低权限用户启动RabbitMQ

基线名称

专职低权限用户启动RabbitMQ

基线编号

Tophant-RabbitMQ-1

基线说明

应以较低权限账号运行RabbitMQ服务，并禁用该账号的登录权限。

配置方法

创建了一个无home目录权限，且无法登录的普通账号：

useradd-M-s/sbin/nologin[username]

并以该账号运行RabbitMQ服务。

检查方法

输入top命令，查看RabbitMQ服务运行的账号

备注

该操作需要重启RabbitMQ才能生效。

配置SSL证书

基线名称

配置SSL证书

基线编号

Tophant-RabbitMQ-2

基线说明

应该给RabbitrMQ服务配置SSL证书

配置方法

下载ssl证书

打开rabbitmq.conf配置文件

添加ssl_listeners和ssl_options配置项。

检查方法

查看rabbitmq配置文件

备注

账号和密码

删除或修改默认的GUEST用户和密码

基线名称

删除或修改默认的GUEST用户和密码

基线编号

Tophant-RabbitMQ-4

基线说明

应删除或修改rabbitmq默认的Guest用户和密码

配置方法

利用rabbitmqctl命令对GEST用户进行删除或者修改

sudorabbitmqctldelete_user[username]

检查方法

#?检查是否有默认用户名guest

sudo?rabbitmqctl?list_users

备注

该操作需要重启RabbitMQ才能生效。

服务精细化授权

开启HTTP后台认证

基线名称

开启HTTP后台认证

基线编号

Tophant-RabbitMQ-3

基线说明

启用HTTP后台认证需要使用rabbitmq_auth_backend_http插件，同时该插件还推荐配合rabbitmq_auth_backend_cache通过缓存减轻授权认证服务器压力

配置方法

通过下面命令分别启用这两个插件：

sudorabbitmq-pluginsenablerabbi