在我們的很多個項目中都用到了消息中間件，雖然現在有些已經改用了kafka，但是還有相當一部分依然用的是rabbitmq。 而最近呢，我們收到了一份關于安全漏洞掃描的文檔，說我們的rabbitmq存在著一些安全漏洞問題，既然是有問題，自然是需要整改的，但是看完文檔以后，發現這種安全漏洞問題似乎并不是很好解決。 文檔中指出的問題主要有這樣三個： 一、更改密碼沒有驗證舊密碼 說的具體點，就是在登錄系統后，在更改密碼處，未驗證原來密碼，只需要兩次新的密碼一致便可以修改密碼成功。如圖所示：

二、用戶名枚舉 具體來說就是，首頁用戶登錄認證時，連續認證失敗后，服務器沒有對帳號或ip地址實施鎖定等任何措施，也就是說可以無限制的嘗試和猜測用戶名和密碼，如圖： 三、登錄無驗證碼 這個問題和上邊的問題在同一個地方，因此便不再截圖，很顯然的可以看到登錄的時候只需要用戶名和密碼就夠了，也就加大了安全隱患。

主要的問題也就是這么三個，從上邊的截圖及描述中很容易發現，這三個問題實際上是rabbitmq management的問題，是rabbitmq web ui管理界面的問題。 rabbitmq management算是rabbitmq的一個插件，從某中程度上來說并不是必要的，只是為了方便使用，有一個可視化的界面進行操作和查看自然要比全命令行要方便。 正因為這個東西是rabbitmq自有的插件，所以要解決似乎就不是那么容易了，這就不僅僅需要涉及到rabbitmq的使用，而是更要熟悉rabbitmq本身的構造代碼，對于我來說，難度不是一般的大。 因此在網絡上是在找不到解決辦法，百度和谷歌都沒能找到任何一條說這個漏洞的信息后，我只好采取一個不是很想采取，但是目前來說似乎又是唯一能解決這個問題的辦法。 那就是關閉這個rabbitmq management，停止使用這個web ui。 好處是這樣一來能解決這三個漏洞，當我根本不讓你訪問這個頁面的時候，完全沒有這個頁面的時候，這個頁面的漏洞是否還存在呢？ 但是壞處也是顯而易見的，這個界面本身的目的就是為了方便，關了之后，很多的操作就只能使用shell命令，也就不是那么簡便了。 那么最后就說一說怎么關閉的，實際上也很簡單。 我們知道linux中安裝rabbitmq要啟動這個rabbitmq management是使用的如下命令：

那么稍微有一些開發經驗的大概就能設想到關閉應該是這樣了：

事實上，我就是這么做的，執行這個命令然后重啟rabbitmq，經測試，程序連接和shell命令都整成，但是那個web ui界面就不能再訪問了。 好了，就是這樣，不知其他朋友是否還有更好的解決辦法呢？