5.9. 在配置文件中加密密码
默认情况下,AMQ Broker 将所有密码以纯文本形式存储在配置文件中。确保使用正确的权限保护所有配置文件,以防止未经授权的访问。您还可以加密或者 屏蔽,使用纯文本密码来防止不需要的查看器读取它们。
5.9.1. 关于加密密码
加密或 屏蔽 的,密码为纯文本密码的加密版本。加密的版本由 AMQ Broker 提供的 mask 命令行工具生成。有关 掩码 工具的详情,请查看命令行帮助文档:
$ <broker_instance_dir>/bin/artemis help mask
要屏蔽密码,请将其纯文本值替换为加密的值。屏蔽的密码必须由标识符 ENC() 封装,以便在需要实际值时解密。
在以下示例中,配置文件 <broker_instance_dir>/etc/bootstrap.xml 包含 keyStorePassword 和 trustStorePassword 参数的掩码密码。
<web bind="https://localhost:8443" path="web"
keyStorePassword="ENC(-342e71445830a32f95220e791dd51e82)"
trustStorePassword="ENC(32f94e9a68c45d89d962ee7dc68cb9d1)">
<app url="activemq-branding" war="activemq-branding.war"/>
</web>您可以在以下配置文件中使用屏蔽的密码。
- broker.xml
- bootstrap.xml
- management.xml
- artemis-users.properties
-
login.config(用于
LDAPLoginModule)
配置文件位于 <broker_instance_dir>/etc。
Artemis-users.properties 仅支持已散列化的屏蔽密码。在创建代理时创建用户时,rte mis-users.properties 默认包含哈希密码。默认 PropertiesLoginModule 将不解码 artemis-users.properties 文件中的密码,而是对输入进行哈希处理,并将两个散列值进行比较。将散列密码更改为掩码的密码不允许访问 AMQ Broker 管理控制台。
broker.xml、bootstrap.xml、management.xml 和 login.config 支持密码,这些密码会被屏蔽,但不散列处理。
