Bezpieczny Trixbox

Dzisiaj prezentujemy mały przewodnik, który przeprowadzi was przez zmianę haseł w domyślnej instalacji Trixbox’a.

Unikamy nieszyfrowanego połączenia przez http:

Zmieniamy "Listen 80" na "#Listen 80" w pliku "/etc/httpd/conf/httpd.conf"

Zmieniamy domyślny port dla serwera https:

Zmieniamy "Listen 443" na "Listen 12444" w pliku "/etc/httpd/conf.d/ssl.conf"

oraz „” na „”

Zmieniamy domyśly port na jakim nasłuchuje panel:

Zamień linię ";listen_port=4445" na "listen_port=12555" w pliku "/var/www/html/panel/op_server.cfg"

Zabezpieczenie SSH:

- zmiana portu
Zamień linię "#Port 22" na "Port 12666" w pliku "/etc/ssh/sshd_config"

-logowanie na roota
Zamień linię "#PermitRootLogin yes" na "PermitRootLogin no" w pliku "/etc/ssh/sshd_config"

Zmiana hasła roota:

passwd

Dodajemy użytkownika z prawami logowania przez SSH:

adduser nazwa_usera passwd hasło_usera

Zabezpieczamy MySQL:

mysqladmin -u asteriskuser -p password nowe_super_bezpieczne_hasło

Kiedy zostaniemy poproszeni o hasełko wpisujemy „amp109″ – jest to domyśle hasło w Trixboxie.

Następnie musimy wprowadzić nowe hasło do plików konfiguracyjnych:
Zamień hasło "AMPDBPASS" w pliku "/etc/amportal.conf"

Zamień hasło „password” w pliku „/etc/asterisk/cdr_mysql.conf”

Zamień hasło „dbpass” w pliku „/etc/asterisk/res_mysql.conf”

iptables, chronimy połączenia przychodzące inne niż:

- SIP
- SSH
- WEB
- FOP

Po zmianie Twojego zewnętrznego adresu IP z 111.222.111.222 w skrypcie, można go skopiować bezpośrednio do konsoli.
IPTABLES=/sbin/iptables $IPTABLES -F $IPTABLES -F INPUT; $IPTABLES -P INPUT ACCEPT; $IPTABLES -Z INPUT $IPTABLES -F FORWARD; $IPTABLES -P FORWARD ACCEPT; $IPTABLES -Z FORWARD $IPTABLES -F OUTPUT; $IPTABLES -P OUTPUT ACCEPT; $IPTABLES -Z OUTPUT $IPTABLES -X $IPTABLES -N ALEX-INPUT; $IPTABLES -N REJECT-PKT; $IPTABLES -N SYN-FLOOD;

$IPTABLES -A INPUT -j ALEX-INPUT
$IPTABLES -A ALEX-INPUT -i lo -j ACCEPT
$IPTABLES -A ALEX-INPUT -s 127.0.0.0/8 -j DROP
$IPTABLES -A ALEX-INPUT -d 127.0.0.0/8 -j DROP

$IPTABLES -A ALEX-INPUT -s 111.222.111.222 -j DROP

$IPTABLES -A ALEX-INPUT -p tcp -m tcp ! –syn -m state –state NEW -j DROP
$IPTABLES -A ALEX-INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A ALEX-INPUT -p icmp -m icmp –icmp-type ping -j ACCEPT

$IPTABLES -A ALEX-INPUT -p tcp -m tcp –dport 12444 -j ACCEPT
$IPTABLES -A ALEX-INPUT -p tcp -m tcp –dport 12555 -j ACCEPT
$IPTABLES -A ALEX-INPUT -p tcp -m tcp –dport 12666 -j ACCEPT
$IPTABLES -A ALEX-INPUT -p udp -m udp –dport 5060 -j ACCEPT
$IPTABLES -A ALEX-INPUT -p udp -m udp –dport 5061 -j ACCEPT
$IPTABLES -A ALEX-INPUT -p udp -m udp –dport 10000:20000 -j ACCEPT

$IPTABLES -A ALEX-INPUT -j REJECT-PKT

$IPTABLES -A REJECT-PKT -p tcp -m tcp -j REJECT –reject-with tcp-reset
$IPTABLES -A REJECT-PKT -p udp -m udp -j REJECT –reject-with icmp-port-unreachable
$IPTABLES -A REJECT-PKT -p icmp -m icmp –icmp-type ping -j REJECT –reject-with icmp-host-unreachable

Zapisujemy iptables poleceniem:

service iptables save

Ustawiamy bootowanie skryptu iptables, przy starcie systemu:

ln -s /etc/init.d/iptables /etc/rc3.d/S20iptables

Zmiana hasła maint-password:

passwd-maint

Wpisujemy nowe hasło dwukrotnie.

Zmiana hasła do FOP’a:

Zamień „FOPPASSWORD=passw0rd” to „FOPPASSWORD=nowe_super_bezpieczne_hasło” w pliku „/etc/amportal.conf”

Zmieniamy hasło dla użytkownika admin na stronie z nagraniami (ARI):

Zaień linię $ARI_ADMIN_PASSWORD =”ari_password” na $ARI_ADMIN_PASSWORD =”nowe_super_bezpieczne_hasło” w pliku „/var/www/html/recordings/includes/main.conf.php”

Zmieniamy hasło do AMP-Managera:

Zamień „AMPMGRPASS=amp111″ na „AMPMGRPASS=nowe_super_bezpieczne_hasło” w pliku /etc/amportal.conf

Zamień „secret = amp111″ na „secret = nowe_super_bezpieczne_hasło” w pliku „/etc/asterisk/manager.conf”

Jak dostać się do Trixbox’a?

User page: https://111.222.111.222:12444/user/

Maintanance page: https://111.222.111.222:12444/maint/ (user=maint, pass=nowe_super_bezpieczne_hasło)

FreePBX page: https://111.222.111.222:12444/admin/ (user=maint, pass=nowe_super_bezpieczne_hasło)

Recordings page: https://111.222.111.222:12444/recordings/ (user=admin, pass=nowe_super_bezpieczne_hasło)

SSH : login with nazwa_usera oraz hasło_usera następnie wykonaj polecenie „su -” oraz podaj swoje nowe_super_bezpieczne_hasło root’a