.net 没有SSL的RabbitMQ身份验证安全吗?
我们正在使用RabbitMQ,我们将通过internet公开服务器。我们将有来自多台计算机的多个客户端访问服务器。我们的第一反应是启用SSL,但这似乎是文档中的一大难题,特别是在Windows和.NET中 我们可以手动加密我们的消息,并确保重要信息不能被嗅探,但我们更关心的是身份验证和授权 RabbitMQ的默认登录体系结构是安全的,还是我们真的需要启用SSL以实现100%安全的登录和授权?当客户端远程登录到RabbitMQ时,是否有人可以嗅探vhost/username/password.net 没有SSL的RabbitMQ身份验证安全吗?,.net,security,ssl,rabbitmq,easynetq,.net,Security,Ssl,Rabbitmq,Easynetq,我们正在使用RabbitMQ,我们将通过internet公开服务器。我们将有来自多台计算机的多个客户端访问服务器。我们的第一反应是启用SSL,但这似乎是文档中的一大难题,特别是在Windows和.NET中 我们可以手动加密我们的消息,并确保重要信息不能被嗅探,但我们更关心的是身份验证和授权 RabbitMQ的默认登录体系结构是安全的,还是我们真的需要启用SSL以实现100%安全的登录和授权?当客户端远程登录到RabbitMQ时,是否有人可以嗅探vhost/username/password 谢谢
谢谢,根据,SASL用于身份验证,因此,这可能是安全的,但RabbitMQ发行版提供的三种机制似乎都不安全(没有TLS)。您可以编写自己的安全SASL插件,或者按照您的说明使用TLS/SSL加密传输层。原始问题的简短答案是否,如果不配置TLS,RabbitMQ将不安全(这不像OP认为的那么痛苦) SASL将为您提供一个安全的(取决于机制)登录,但您登录是为了做一些事情(而不是为了好玩的登录:)-如果没有像TLS这样的机制,某些事情将不安全
正如各国所说,SASL是一种协议,它可以通过其机制安装安全层,从而成功地验证。不幸的是,大多数定义的SASL机制都没有提供安全层。因此,正如上面桥本san所建议的,强烈建议使用TLS作为RabbitMQ的安全层。我们有一个为服务器生成证书的中间CA,另一个为用户和客户端提供证书的中间CA。我们发现该设置足够简单、可靠,并且非常易于管理。几乎没有疼痛。