Сравните шифры службы RabbitMQ Устройство vRealize Automation со списком допустимых шифров и отключите те из них, которые считаются легко раскрываемыми.

Отключите наборы шифров, которые не обеспечивают проверку подлинности, например наборы шифров NULL, aNULL, eNULL. Также отключите анонимный обмен ключами по протоколу Диффи-Хеллмана (ADH), шифры экспортного уровня (EXP, шифры, содержащие DES), ключи размером менее 128 бит для шифрования полезной нагрузки, использование MD5 в качестве механизма хэширования для полезной нагрузки, наборы шифров IDEA и RC4.

Процедура

  1. Проверьте поддерживаемые наборы шифров с помощью команды # /usr/sbin/rabbitmqctl eval 'ssl:cipher_suites().'.

    В показанном ниже примере возвращены только поддерживаемые шифры. Сервер RabbitMQ не использует и не объявляет эти шифры, если в файле rabbitmq.config нет соответствующих настроек.

    ["ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES256-GCM-SHA384",
     "ECDHE-ECDSA-AES256-SHA384","ECDHE-RSA-AES256-SHA384",
     "ECDH-ECDSA-AES256-GCM-SHA384","ECDH-RSA-AES256-GCM-SHA384",
     "ECDH-ECDSA-AES256-SHA384","ECDH-RSA-AES256-SHA384",
     "DHE-RSA-AES256-GCM-SHA384","DHE-DSS-AES256-GCM-SHA384",
     "DHE-RSA-AES256-SHA256","DHE-DSS-AES256-SHA256","AES256-GCM-SHA384",
     "AES256-SHA256","ECDHE-ECDSA-AES128-GCM-SHA256",
     "ECDHE-RSA-AES128-GCM-SHA256","ECDHE-ECDSA-AES128-SHA256",
     "ECDHE-RSA-AES128-SHA256","ECDH-ECDSA-AES128-GCM-SHA256",
     "ECDH-RSA-AES128-GCM-SHA256","ECDH-ECDSA-AES128-SHA256",
     "ECDH-RSA-AES128-SHA256","DHE-RSA-AES128-GCM-SHA256",
     "DHE-DSS-AES128-GCM-SHA256","DHE-RSA-AES128-SHA256","DHE-DSS-AES128-SHA256",
     "AES128-GCM-SHA256","AES128-SHA256","ECDHE-ECDSA-AES256-SHA",
     "ECDHE-RSA-AES256-SHA","DHE-RSA-AES256-SHA","DHE-DSS-AES256-SHA",
     "ECDH-ECDSA-AES256-SHA","ECDH-RSA-AES256-SHA","AES256-SHA",
     "ECDHE-ECDSA-DES-CBC3-SHA","ECDHE-RSA-DES-CBC3-SHA","EDH-RSA-DES-CBC3-SHA",
     "EDH-DSS-DES-CBC3-SHA","ECDH-ECDSA-DES-CBC3-SHA","ECDH-RSA-DES-CBC3-SHA",
     "DES-CBC3-SHA","ECDHE-ECDSA-AES128-SHA","ECDHE-RSA-AES128-SHA",
     "DHE-RSA-AES128-SHA","DHE-DSS-AES128-SHA","ECDH-ECDSA-AES128-SHA",
     "ECDH-RSA-AES128-SHA","AES128-SHA"]
    
  2. Выберите из поддерживаемых шифров те, которые отвечают требованиям к безопасности вашей организации.

    Например, чтобы разрешить только ECDHE-ECDSA-AES128-GCM-SHA256 & ECDHE-ECDSA-AES256-GCM-SHA384, проверьте файл /etc/rabbitmq/rabbitmq.config и добавьте в разделе ssl и ssl_options следующую строку:

    {ciphers, [“ECDHE-ECDSA-AES128-GCM-SHA256”, “ECDHE-ECDSA-AES256-GCM-SHA384”]}

  3. Перезапустите сервер RabbitMQ с помощью следующей команды:

    service rabbitmq-server restart