Bezpieczny Trixbox

Udostępnione w Asterisk , GNU\Linux , Security 0 komentarzy

Dzisiaj prezentujemy mały przewodnik, który przeprowadzi was przez zmianę haseł w domyślnej instalacji Trixbox\’a.

Unikamy nieszyfrowanego połączenia przez http:

Zmieniamy \"Listen 80\" na \"#Listen 80\" w pliku \"/etc/httpd/conf/httpd.conf\"

Zmieniamy domyślny port dla serwera https:

Zmieniamy \"Listen 443\" na \"Listen 12444\" w pliku \"/etc/httpd/conf.d/ssl.conf\"

oraz \”\” na \”\”

Zmieniamy domyśly port na jakim nasłuchuje panel:

Zamień linię \";listen_port=4445\" na \"listen_port=12555\" w pliku \"/var/www/html/panel/op_server.cfg\"

Zabezpieczenie SSH:

– zmiana portu
Zamień linię \"#Port 22\" na \"Port 12666\" w pliku \"/etc/ssh/sshd_config\"

-logowanie na roota
Zamień linię \"#PermitRootLogin yes\" na \"PermitRootLogin no\" w pliku \"/etc/ssh/sshd_config\"

Zmiana hasła roota:

passwd

Dodajemy użytkownika z prawami logowania przez SSH:

adduser nazwa_usera
passwd hasło_usera

Zabezpieczamy MySQL:

mysqladmin -u asteriskuser -p password nowe_super_bezpieczne_hasło

Kiedy zostaniemy poproszeni o hasełko wpisujemy \”amp109\” – jest to domyśle hasło w Trixboxie.

Następnie musimy wprowadzić nowe hasło do plików konfiguracyjnych:

Zamień hasło \"AMPDBPASS\" w pliku \"/etc/amportal.conf\"

Zamień hasło \”password\” w pliku \”/etc/asterisk/cdr_mysql.conf\”

Zamień hasło \”dbpass\” w pliku \”/etc/asterisk/res_mysql.conf\”

iptables, chronimy połączenia przychodzące inne niż:

– SIP
– SSH
– WEB
– FOP

Po zmianie Twojego zewnętrznego adresu IP z 111.222.111.222 w skrypcie, można go skopiować bezpośrednio do konsoli.

IPTABLES=/sbin/iptables
$IPTABLES -F
$IPTABLES -F INPUT; $IPTABLES -P INPUT ACCEPT; $IPTABLES -Z INPUT
$IPTABLES -F FORWARD; $IPTABLES -P FORWARD ACCEPT; $IPTABLES -Z FORWARD
$IPTABLES -F OUTPUT; $IPTABLES -P OUTPUT ACCEPT; $IPTABLES -Z OUTPUT
$IPTABLES -X
$IPTABLES -N ALEX-INPUT;
$IPTABLES -N REJECT-PKT;
$IPTABLES -N SYN-FLOOD;

$IPTABLES -A INPUT -j ALEX-INPUT
$IPTABLES -A ALEX-INPUT -i lo -j ACCEPT
$IPTABLES -A ALEX-INPUT -s 127.0.0.0/8 -j DROP
$IPTABLES -A ALEX-INPUT -d 127.0.0.0/8 -j DROP

$IPTABLES -A ALEX-INPUT -s 111.222.111.222 -j DROP

$IPTABLES -A ALEX-INPUT -p tcp -m tcp ! –syn -m state –state NEW -j DROP
$IPTABLES -A ALEX-INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A ALEX-INPUT -p icmp -m icmp –icmp-type ping -j ACCEPT

$IPTABLES -A ALEX-INPUT -p tcp -m tcp –dport 12444 -j ACCEPT
$IPTABLES -A ALEX-INPUT -p tcp -m tcp –dport 12555 -j ACCEPT
$IPTABLES -A ALEX-INPUT -p tcp -m tcp –dport 12666 -j ACCEPT
$IPTABLES -A ALEX-INPUT -p udp -m udp –dport 5060 -j ACCEPT
$IPTABLES -A ALEX-INPUT -p udp -m udp –dport 5061 -j ACCEPT
$IPTABLES -A ALEX-INPUT -p udp -m udp –dport 10000:20000 -j ACCEPT

$IPTABLES -A ALEX-INPUT -j REJECT-PKT

$IPTABLES -A REJECT-PKT -p tcp -m tcp -j REJECT –reject-with tcp-reset
$IPTABLES -A REJECT-PKT -p udp -m udp -j REJECT –reject-with icmp-port-unreachable
$IPTABLES -A REJECT-PKT -p icmp -m icmp –icmp-type ping -j REJECT –reject-with icmp-host-unreachable

Zapisujemy iptables poleceniem:

service iptables save

Ustawiamy bootowanie skryptu iptables, przy starcie systemu:

ln -s /etc/init.d/iptables /etc/rc3.d/S20iptables

Zmiana hasła maint-password:

passwd-maint

Wpisujemy nowe hasło dwukrotnie.

Zmiana hasła do FOP\’a:

Zamień \”FOPPASSWORD=passw0rd\” to \”FOPPASSWORD=nowe_super_bezpieczne_hasło\” w pliku \”/etc/amportal.conf\”

Zmieniamy hasło dla użytkownika admin na stronie z nagraniami (ARI):

Zaień linię $ARI_ADMIN_PASSWORD =\”ari_password\” na $ARI_ADMIN_PASSWORD =\”nowe_super_bezpieczne_hasło\” w pliku \”/var/www/html/recordings/includes/main.conf.php\”

Zmieniamy hasło do AMP-Managera:

Zamień \”AMPMGRPASS=amp111\” na \”AMPMGRPASS=nowe_super_bezpieczne_hasło\” w pliku /etc/amportal.conf

Zamień \”secret = amp111\” na \”secret = nowe_super_bezpieczne_hasło\” w pliku \”/etc/asterisk/manager.conf\”

Jak dostać się do Trixbox\’a?

User page: https://111.222.111.222:12444/user/

Maintanance page: https://111.222.111.222:12444/maint/ (user=maint, pass=nowe_super_bezpieczne_hasło)

FreePBX page: https://111.222.111.222:12444/admin/ (user=maint, pass=nowe_super_bezpieczne_hasło)

Recordings page: https://111.222.111.222:12444/recordings/ (user=admin, pass=nowe_super_bezpieczne_hasło)

SSH : login with nazwa_usera oraz hasło_usera następnie wykonaj polecenie \”su -\” oraz podaj swoje nowe_super_bezpieczne_hasło root\’a 😉

Na koniec, 9 rad dotyczących bezpieczeństwa central telefonicznych.


Napisany przez Jarosław Prochal   @   23 grudnia 2009 0 komentarzy
Tagi : , , , , ,

0 Komentarzy

Brak komentarzy. Bądź pierwszy!
Zostaw komentarz

Poprzedni wpis
«
Następny wpis
»