EMQX开源版中如何禁用HTTP Dashboard访问

背景介绍

在使用EMQX开源版时，很多管理员会遇到需要禁用HTTP Dashboard访问的需求。通常情况下，EMQX Dashboard默认会同时监听HTTP和HTTPS端口，但在生产环境中，出于安全考虑，我们往往希望只保留HTTPS访问方式。

问题分析

EMQX Dashboard默认配置会同时开启HTTP和HTTPS两种访问方式。HTTP服务默认监听18083端口，而HTTPS服务则监听另一个端口。这种配置虽然方便开发和测试，但在生产环境中存在安全隐患，因为：

1. HTTP通信是明文的，容易被中间人攻击
2. 同时开放两个端口增加了攻击面
3. 不符合现代安全最佳实践

解决方案

方法一：通过Nginx配置重定向

最推荐的方式是通过Nginx进行流量管理，将HTTP请求重定向到HTTPS：

1. 修改Nginx配置文件（通常位于/etc/nginx/nginx.conf或/etc/nginx/sites-available/default）
2. 添加以下配置规则：

server {
    listen 80;
    server_name mqtt.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name mqtt.example.com;
    
    ssl_certificate /path/to/cert.pem;
    ssl_certificate_key /path/to/key.pem;
    
    # 其他HTTPS相关配置
}

3. 保存配置后重启Nginx服务

方法二：修改EMQX配置文件

如果希望直接从EMQX层面禁用HTTP Dashboard，可以修改EMQX的配置文件：

1. 找到EMQX的配置文件（通常位于/etc/emqx/emqx.conf）
2. 修改Dashboard监听配置：

dashboard {
    listeners.http {
        enable = false
    }
    listeners.https {
        enable = true
        bind = 18084
        ssl_options {
            keyfile = "/path/to/key.pem"
            certfile = "/path/to/cert.pem"
        }
    }
}

3. 重启EMQX服务使配置生效

注意事项

1. 在修改配置前，请确保HTTPS服务已正确配置并能正常工作
2. 修改配置后务必测试所有功能是否正常
3. 生产环境中建议同时配置防火墙规则，限制对HTTP端口的访问
4. 定期检查证书有效期，避免因证书过期导致服务不可用

安全建议

1. 除了禁用HTTP访问外，还应该考虑：

   • 启用双因素认证
   • 限制Dashboard访问IP
   • 定期更换证书
   • 监控异常登录尝试

2. 对于高安全要求的场景，可以考虑：

   • 使用专用网络访问Dashboard
   • 设置访问时间限制
   • 启用审计日志

通过以上方法，可以有效提升EMQX Dashboard的安全性，满足企业级安全要求。