Dzisiaj prezentujemy mały przewodnik, który przeprowadzi was przez zmianę haseł w domyślnej instalacji Trixbox\’a.
Unikamy nieszyfrowanego połączenia przez http:
Zmieniamy \"Listen 80\" na \"#Listen 80\" w pliku \"/etc/httpd/conf/httpd.conf\"
Zmieniamy domyślny port dla serwera https:
Zmieniamy \"Listen 443\" na \"Listen 12444\" w pliku \"/etc/httpd/conf.d/ssl.conf\"
oraz \”\” na \”\”
Zmieniamy domyśly port na jakim nasłuchuje panel:
Zamień linię \";listen_port=4445\" na \"listen_port=12555\" w pliku \"/var/www/html/panel/op_server.cfg\"
Zabezpieczenie SSH:
– zmiana portu
Zamień linię \"#Port 22\" na \"Port 12666\" w pliku \"/etc/ssh/sshd_config\"
-logowanie na roota
Zamień linię \"#PermitRootLogin yes\" na \"PermitRootLogin no\" w pliku \"/etc/ssh/sshd_config\"
Zmiana hasła roota:
passwd
Dodajemy użytkownika z prawami logowania przez SSH:
adduser nazwa_usera
passwd hasło_usera
Zabezpieczamy MySQL:
mysqladmin -u asteriskuser -p password nowe_super_bezpieczne_hasło
Kiedy zostaniemy poproszeni o hasełko wpisujemy \”amp109\” – jest to domyśle hasło w Trixboxie.
Następnie musimy wprowadzić nowe hasło do plików konfiguracyjnych:
Zamień hasło \"AMPDBPASS\" w pliku \"/etc/amportal.conf\"
Zamień hasło \”password\” w pliku \”/etc/asterisk/cdr_mysql.conf\”
Zamień hasło \”dbpass\” w pliku \”/etc/asterisk/res_mysql.conf\”
iptables, chronimy połączenia przychodzące inne niż:
– SIP
– SSH
– WEB
– FOP
Po zmianie Twojego zewnętrznego adresu IP z 111.222.111.222 w skrypcie, można go skopiować bezpośrednio do konsoli.
IPTABLES=/sbin/iptables
$IPTABLES -F
$IPTABLES -F INPUT; $IPTABLES -P INPUT ACCEPT; $IPTABLES -Z INPUT
$IPTABLES -F FORWARD; $IPTABLES -P FORWARD ACCEPT; $IPTABLES -Z FORWARD
$IPTABLES -F OUTPUT; $IPTABLES -P OUTPUT ACCEPT; $IPTABLES -Z OUTPUT
$IPTABLES -X
$IPTABLES -N ALEX-INPUT;
$IPTABLES -N REJECT-PKT;
$IPTABLES -N SYN-FLOOD;
$IPTABLES -A INPUT -j ALEX-INPUT
$IPTABLES -A ALEX-INPUT -i lo -j ACCEPT
$IPTABLES -A ALEX-INPUT -s 127.0.0.0/8 -j DROP
$IPTABLES -A ALEX-INPUT -d 127.0.0.0/8 -j DROP
$IPTABLES -A ALEX-INPUT -s 111.222.111.222 -j DROP
$IPTABLES -A ALEX-INPUT -p tcp -m tcp ! –syn -m state –state NEW -j DROP
$IPTABLES -A ALEX-INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A ALEX-INPUT -p icmp -m icmp –icmp-type ping -j ACCEPT
$IPTABLES -A ALEX-INPUT -p tcp -m tcp –dport 12444 -j ACCEPT
$IPTABLES -A ALEX-INPUT -p tcp -m tcp –dport 12555 -j ACCEPT
$IPTABLES -A ALEX-INPUT -p tcp -m tcp –dport 12666 -j ACCEPT
$IPTABLES -A ALEX-INPUT -p udp -m udp –dport 5060 -j ACCEPT
$IPTABLES -A ALEX-INPUT -p udp -m udp –dport 5061 -j ACCEPT
$IPTABLES -A ALEX-INPUT -p udp -m udp –dport 10000:20000 -j ACCEPT
$IPTABLES -A ALEX-INPUT -j REJECT-PKT
$IPTABLES -A REJECT-PKT -p tcp -m tcp -j REJECT –reject-with tcp-reset
$IPTABLES -A REJECT-PKT -p udp -m udp -j REJECT –reject-with icmp-port-unreachable
$IPTABLES -A REJECT-PKT -p icmp -m icmp –icmp-type ping -j REJECT –reject-with icmp-host-unreachable
Zapisujemy iptables poleceniem:
service iptables save
Ustawiamy bootowanie skryptu iptables, przy starcie systemu:
ln -s /etc/init.d/iptables /etc/rc3.d/S20iptables
Zmiana hasła maint-password:
passwd-maint
Wpisujemy nowe hasło dwukrotnie.
Zmiana hasła do FOP\’a:
Zamień \”FOPPASSWORD=passw0rd\” to \”FOPPASSWORD=nowe_super_bezpieczne_hasło\” w pliku \”/etc/amportal.conf\”
Zmieniamy hasło dla użytkownika admin na stronie z nagraniami (ARI):
Zaień linię $ARI_ADMIN_PASSWORD =\”ari_password\” na $ARI_ADMIN_PASSWORD =\”nowe_super_bezpieczne_hasło\” w pliku \”/var/www/html/recordings/includes/main.conf.php\”
Zmieniamy hasło do AMP-Managera:
Zamień \”AMPMGRPASS=amp111\” na \”AMPMGRPASS=nowe_super_bezpieczne_hasło\” w pliku /etc/amportal.conf
Zamień \”secret = amp111\” na \”secret = nowe_super_bezpieczne_hasło\” w pliku \”/etc/asterisk/manager.conf\”
Jak dostać się do Trixbox\’a?
User page: https://111.222.111.222:12444/user/
Maintanance page: https://111.222.111.222:12444/maint/ (user=maint, pass=nowe_super_bezpieczne_hasło)
FreePBX page: https://111.222.111.222:12444/admin/ (user=maint, pass=nowe_super_bezpieczne_hasło)
Recordings page: https://111.222.111.222:12444/recordings/ (user=admin, pass=nowe_super_bezpieczne_hasło)
SSH : login with nazwa_usera oraz hasło_usera następnie wykonaj polecenie \”su -\” oraz podaj swoje nowe_super_bezpieczne_hasło root\’a 😉
Na koniec, 9 rad dotyczących bezpieczeństwa central telefonicznych.