ฉันจะทำให้ RabbitMQ ฟังได้เฉพาะ localhost อย่างไร

ฉันได้ติดตั้ง RabbitMQ บนเครื่อง Debian Linux Squeeze และฉันต้องการให้ฟังเฉพาะ localhost interface ฉันได้เพิ่ม

RABBITMQ_NODE_IP_ADDRESS=127.0.0.1

ไปยัง/etc/rabbitmq/rabbitmq.confไฟล์ของฉันและนั่นทำให้เชื่อมโยงกับโลคัลโฮสต์อินเตอร์เฟสเท่านั้นเมื่อฟังบนamqpพอร์ต (5672) อย่างไรก็ตามมันยังคงเชื่อมต่อกับอินเทอร์เฟซทั้งหมดเมื่อฟังพอร์ต epmd (4369) และ 43380:

# lsof -n -a -i -urabbitmq
COMMAND   PID     USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
epmd     7353 rabbitmq    3u  IPv4 1177662      0t0  TCP *:epmd (LISTEN)
epmd     7353 rabbitmq    5u  IPv4 1177714      0t0  TCP 127.0.0.1:epmd->127.0.0.1:50877 (ESTABLISHED)
beam.smp 7365 rabbitmq   10u  IPv4 1177711      0t0  TCP *:43380 (LISTEN)
beam.smp 7365 rabbitmq   11u  IPv4 1177713      0t0  TCP 127.0.0.1:50877->127.0.0.1:epmd (ESTABLISHED)
beam.smp 7365 rabbitmq   19u  IPv4 1177728      0t0  TCP 127.0.0.1:amqp (LISTEN)

ฉันจะป้องกันสิ่งนี้ได้อย่างไร ฉันต้องตั้งค่า iptables หรือมีตัวเลือกการกำหนดค่า RabbitMQ เพิ่มเติมที่จะทำให้สิ่งที่ฉันต้องการได้หรือไม่

การใส่สิ่งต่อไปนี้ใน/etc/rabbitmq/rabbitmq-env.confจะทำให้ RabbitMQ และ epmd ฟังบน localhost เท่านั้น:

export RABBITMQ_NODENAME=rabbit@localhost
export RABBITMQ_NODE_IP_ADDRESS=127.0.0.1
export ERL_EPMD_ADDRESS=127.0.0.1

ใช้เวลานานกว่านี้เล็กน้อยในการกำหนดค่า Erlang ให้ใช้ localhost สำหรับพอร์ตที่มีหมายเลขสูงกว่าเท่านั้น (ซึ่งใช้สำหรับการทำคลัสเตอร์โหนดเท่าที่ฉันสามารถบอกได้) หากคุณไม่สนใจเกี่ยวกับการทำคลัสเตอร์และเพียงต้องการให้ Rabbit ทำงานภายในเครื่องอย่างเต็มที่จากนั้นคุณสามารถส่ง Erlang ตัวเลือกเคอร์เนลเพื่อให้ใช้เฉพาะอินเตอร์เฟสลูปแบ็ค

ต้องการทำเช่นนั้นสร้างไฟล์ใหม่ใน/etc/rabbitmq/- rabbit.configฉันจะเรียกมันว่า ในไฟล์นี้เราจะใส่ตัวเลือก Erlang ที่เราต้องโหลดในเวลาทำงาน

[{kernel,[{inet_dist_use_interface,{127,0,0,1}}]}].

หากคุณใช้ปลั๊กอินการจัดการและต้องการ จำกัด เฉพาะโฮสต์ท้องถิ่นคุณจะต้องกำหนดค่าพอร์ตแยกต่างหากทำให้ Rabbit.config รวมสิ่งนี้ไว้:

[ {rabbitmq_management, [ {listener, [{port, 15672}, {ip, "127.0.0.1"}]} ]}, {kernel, [ {inet_dist_use_interface,{127,0,0,1}} ]} ].

(หมายเหตุ RabbitMQ ปล่อยให้ epmd ทำงานเมื่อปิดระบบดังนั้นหากคุณต้องการปิดพอร์ตการจัดกลุ่มของ Erlang คุณจะต้องรีสตาร์ท epmd แยกต่างหากจาก Rabbit)

ต่อไปเราต้องโหลด RabbitMQ ตอนเริ่มต้น เปิดขึ้น/etc/rabbitmq/rabbitmq.confอีกครั้งและวางต่อไปนี้ที่ด้านบน:

export RABBITMQ_CONFIG_FILE="/etc/rabbitmq/rabbit"

ไฟล์นี้จะโหลดไฟล์กำหนดค่าเมื่อเซิร์ฟเวอร์กระต่ายเริ่มทำงานและจะผ่านตัวเลือกไปยัง Erlang

ตอนนี้คุณควรมีกระบวนการ Erlang / RabbitMQ ทั้งหมดที่ฟังบน localhost เท่านั้น! สามารถตรวจสอบได้ด้วยnetstat -ntlap

แก้ไข: ในรุ่นเก่าของ RabbitMQ /etc/rabbitmq/rabbitmq.confไฟล์การกำหนดค่า: อย่างไรก็ตามไฟล์นี้ถูกแทนที่ด้วยrabbit-env.confไฟล์

วิธีทำให้ RabbitMQ ฟังบน localhost / ผูกกับ localhost เท่านั้น:

3 วิธีที่แตกต่างกัน (เทียบเท่าทั้งหมด):

• ใส่ NODE_IP_ADDRESS = 127.0.0.1 ในไฟล์ตัวแปรสภาพแวดล้อม (ดูhttp://www.rabbitmq.com/configure.html#define-environment-variables )

• วางคุณสมบัติ tcp_listeners และ ssl_listeners ในไฟล์กำหนดค่า: รายการกำหนดค่า tcp_listeners และ ssl_listeners ควบคุมส่วนต่อประสานที่ RabbitMQ รับฟัง รายการที่เพิ่งฟัง localhost จะเป็นเช่น {tcp_listeners, [{'127.0.0.1', 5672}]}} (ไวยากรณ์อาจไม่ถูกต้องตรวจสอบ) http://www.rabbitmq.com/configure.html# การตั้งค่าไฟล์

• ส่งออก env ตัวแปรในสคริปต์เริ่มต้น (/etc/init.d/rabbitmq-server) เอ็กซ์พอร์ต RABBITMQ_NODE_IP_ADDRESS = 127.0.0.1

หลังทำงานสำหรับฉัน

EPMD:

โปรแกรม Epmd ทำให้ชิ้นส่วนแบบกระจายของ Erlang ใช้งานได้ หากคุณกำลังสร้างคลัสเตอร์หลายเครื่องคุณต้องปล่อยให้พวกเขาสามารถเข้าถึงโหนดอื่น ๆ และ localhost ได้อย่างแน่นอน แต่มันมีการป้องกันในตัวผ่านไฟล์คุกกี้

มันแทบจะไม่เคยต้องการความสนใจใด ๆ เพียงจำไว้ว่าโปรแกรม erlang (รวมถึง rabbitmqctl เป็นต้น) จำเป็นต้องเข้าถึงพอร์ตนั้นเพื่อติดต่อโปรแกรม erlang อื่น ๆ

แต่ถ้าคุณกำลังจัดการกับข้อมูลทางการเงินหรือบันทึกสุขภาพการปกป้อง epmd อาจเป็นความคิดที่ดี พอร์ตเริ่มต้น epmd ใช้คือ 4369 โปรแกรมอื่นเชื่อมต่อผ่าน tcp

ดูเพิ่มเติมที่: http://www.erlang.org/doc/man/epmd.html#environment_variables

หากคุณต้องการความปลอดภัย RabbitMQ อีกต่อไป

1. ปิดใช้งานบัญชีผู้เยี่ยมชมในตัว http://www.rabbitmq.com/admin-guide.html#default-state

2. พิจารณาการใช้ SSL และการรับรองความถูกต้องโดยใช้ห่วงโซ่ใบรับรอง

ฉันได้รับคำตอบเหล่านี้จากช่อง IRC ชุมชน RabbitMQ

ขอขอบคุณพวกเขา

http://dev.rabbitmq.com/irclog/index.php?date=2011-06-14

หวังว่าข้างต้นช่วยประหยัดเวลาสำหรับคุณ (ฉันใช้เวลา 6 ชั่วโมงในการหาคำตอบ)

หากคุณระบุตัวแปรสภาพแวดล้อมในไฟล์ rabbitmq.conf คุณต้องวางคำนำหน้า RABBITMQ_ ดังนั้นให้ลอง:

NODE_IP_ADDRESS = 127.0.0.1

AFAIK คุณไม่สามารถกำหนดค่าอินเทอร์เฟซ epmd ได้ คุณสามารถตั้งค่าพอร์ต epmd ได้เท่านั้น: http://www.erlang.org/faq/how_do_i.html#id55132