一般的なRabbitMQセキュリティ設定の問題のトラブルシューティング

RabbitMQのセキュリティ設定の問題は、通常、ログイン失敗、403 ACCESS_REFUSEDエラー、または完了しないTLSハンドシェイクとして現れます。修正方法は、接続がどこで失敗するかによって異なります：認証、vhostアクセス、リソース権限、または証明書検証です。

このガイドを使用して、これらのレイヤーを順番に確認してください。推測せずに確認できる実用的なRabbitMQコマンドと設定ポイントに焦点を当てています。

ユーザー権限とアクセス制御の問題

最も一般的なセキュリティ問題は、誤ったユーザー権限に起因します。RabbitMQは、タグとリソース権限（設定、書き込み、読み取り）に基づく詳細なアクセス制御システムを、交換機、キュー、およびバインディングに対して使用します。

不足している権限の診断

アプリケーションが接続、パブリッシュ、またはメッセージの消費ができない場合、最初のステップはユーザーの有効な権限を確認することです。RabbitMQ管理プラグインインターフェースまたはrabbitmqctlコマンドラインツールを使用できます。

一般的な症状：

接続は開くが、パブリッシュまたは消費操作がACCESS_REFUSEDで失敗する。
ユーザーは既存の交換機にパブリッシュできるが、キューを宣言できない。
同じユーザー名が1つのvhostでは機能するが、別のvhostでは失敗する。

`rabbitmqctl`を使用したユーザータグと権限の確認

ユーザーのタグと権限を確認するには、次を使用します：

rabbitmqctl list_users
# ユーザーとそのタグ（例：administrator、management）を確認します

rabbitmqctl list_user_permissions username
# ユーザーが設定、書き込み、読み取り権限を持つvhostを表示します。

rabbitmqctl list_permissions -p /your_vhost
# 1つのvhost上のすべてのユーザーの権限を表示します。

権限のギャップの解決

権限は仮想ホスト（vhost）レベルで設定する必要があり、多くの場合リソースレベル（交換機/キュー）で調整する必要があります。

例：/app_vhost上でapp.で始まるリソースへのアクセスをアプリケーションユーザーに許可する：

rabbitmqctl set_permissions -p /app_vhost app_user "^app\\." "^app\\." "^app\\."

RabbitMQの権限は、この順序で正規表現です：設定、書き込み、読み取り。本番環境では、アプリケーションがそのvhost内のすべてのリソースを実際に所有している場合を除き、".*"は避けてください。app_userがorders_exchangeにのみパブリッシュし、processing_queueからのみ消費する場合、交換機名への書き込みアクセスとキュー名への読み取りアクセスを許可します。

administratorタグはRabbitMQ管理ユーザー用であり、通常のアプリケーション用ではありません。広範な管理アクセスを許可するため、アプリ権限を修正するためのショートカットとして使用すべきではありません。

認証の失敗

認証の失敗は、アクセス制御チェックが開始される前に、ブローカーがユーザーの資格情報（ユーザー名/パスワード）を拒否した場合に発生します。

一般的な原因

パスワードの不一致： クライアントのシークレットがRabbitMQに保存されているパスワードと一致しません。
URI内のユーザー名またはvhostの誤り： AMQP URLにはvhostパスが含まれるため、/は%2Fとしてエンコードされます。
認証メカニズムの不一致： たとえば、TLSクライアント証明書フローではEXTERNALメカニズムが必要な場合がありますが、ユーザー名/パスワードクライアントは通常PLAINやAMQPLAINなどのメカニズムを使用します。

ログを使用した認証のトラブルシューティング

認証の失敗はブローカーによってログに記録されます。多くのLinuxパッケージでは、ログは/var/log/rabbitmq/にあります。コンテナ化されたデプロイメントでは、通常、ログはstdoutまたはコンテナログドライバーに送信されます。

次のような行を探します：

=ERROR REPORT==== YYYY-MM-DD HH:MM:SS ===
Error in server: {auth_failed,<<...>>}

パスワードのリセットまたは変更

資格情報が失われた、または侵害された疑いがある場合は、すぐにリセットします：

# 'app_user'のパスワードを変更
rabbitmqctl change_password app_user new_secure_password

SSL/TLSおよび証明書設定のエラー

安全な通信（AMQPSまたはセキュアWebSocket）を強制する場合、証明書とトラストストアの問題は一般的なセキュリティ設定の頭痛の種です。

SSL/TLS障害の症状

クライアントの接続試行がタイムアウトするか、即座に拒否される。
クライアントがSSL handshake failed、certificate verify failed、またはunknown caなどのエラーを報告する。

主要な設定チェック

A. サーバー証明書の検証

RabbitMQサーバーが提示する証明書チェーンが有効であり、クライアントによって信頼されていることを確認します。

サーバー設定の確認： 正しい証明書（.pemなど）とキーファイルがリスナーのrabbitmq.confファイルで参照されていることを確認します：

# rabbitmq.confの例
listeners.ssl.default = 5671
ssl_options.cacertfile = /path/to/ca_certificate.pem
ssl_options.certfile = /path/to/server_certificate.pem
ssl_options.keyfile = /path/to/server_key.pem

クライアントトラストストアの確認： サーバー証明書が自己署名またはプライベートCAによって署名されている場合、クライアントはそのCA証明書を信頼する必要があります。

B. 暗号とプロトコルの不一致

クライアントとサーバーが共通の暗号スイートまたはTLSバージョン（たとえば、クライアントがTLS 1.2のみをサポートしているが、サーバーがTLS 1.3のみに設定されている）に合意できない場合、ハンドシェイクは失敗します。

厳格なプロトコル強制が必要な場合は、rabbitmq.confでサポートされるTLSバージョンを明示的に定義します。それ以外の場合、RabbitMQは基盤となるErlang/OTPランタイムとRabbitMQバージョンによって提供されるTLSサポートに依存します。

# 許可されるバージョンを明示的に定義（例：TLS 1.2と1.3を強制）
ssl_options.versions.tcp = [tlsv1.2, tlsv1.3]

C. クライアント証明書認証（mTLS）

クライアントが証明書を提示する必要がある場合：

ssl_options.verify = verify_peerを設定します。
クライアント証明書が必要な場合は、ssl_options.fail_if_no_peer_cert = trueを設定します。
ssl_options.cacertfileまたはssl_options.cacerts_pathを設定して、RabbitMQがクライアント証明書に署名したCAを信頼するようにします。
証明書ベースの認証を設定します。一般的にはrabbitmq_auth_mechanism_sslプラグインを使用し、証明書のIDが期待されるRabbitMQユーザー名にマッピングされることを確認します。

仮想ホストアクセスの問題

ユーザーは、明示的にアクセスを許可されたvhost内のリソースにのみアクセスできます。

デフォルトのVHost（`/`）

ユーザーが作成されても、どのvhostにも割り当てられていない場合、接続または操作はできません。デフォルトのvhost（/）を使用する場合、ユーザーがそこに権限を持っていることを確認します。

管理インターフェースまたはrabbitmqctlを使用して、ユーザーが権限を持つvhostを一覧表示します：

rabbitmqctl list_user_vhosts username

ユーザーがbilling_vhostという名前のvhostにアクセスする必要がある場合、ユーザーがリンクされていることを確認します：

rabbitmqctl set_permissions -p billing_vhost app_user "^billing\\." "^billing\\." "^billing\\."

まとめ

RabbitMQのセキュリティ障害は順番に確認します：最初にリスナーとTLS、次に資格情報、次にvhostアクセス、最後に設定/書き込み/読み取り権限です。この順序により、実際の問題が不正なAMQP URL、信頼されていないCA、または欠落しているvhost許可である場合に、権限を書き換えることを防ぎます。