Читать «ELASTIX – общайтесь свободно» онлайн - страница 93
Владислав Юров
Дополнительную информацию по защите Elastix и его компонентов не сложно найти в Интернет. Например, полезно, в дополнение к описанному ниже, прочитать:
Усложнение перебора паролей
Рекомендуется включать опцию Asterisk «alwaysauthreject=yes», чтобы усложнить задачу злоумышленников по подбору паролей. В Elastix эта опция активируется через WEB-интерфейс. Зайдите в меню PBX\Tools\Asterisk File Editor, найдите файл «sip_general_custom.conf», нажмите на него и добавьте в него «alwaysauthreject=yes»:
Установка и настройка дополнения Anti-Hacker
Установка и настройка модуля требует лишь пары минут:
• откройте WEB-панель управления Elastix
• откройте закладку Addons
• дождитесь загрузки списка доступных дополнений
• нажмите BUY напротив дополнения Anti-Hacker
• откройте закладку Anto-Hacker в разделе Security
• настройте параметры модуля, загрузите полученный ключ лицензии, нажмите Update
• запустите службу Anti-Hacker, нажав Service Start
Чтобы убедиться, что деньги на защиту потрачены не зря, зайдите на закладку Anti-Hacker через месяц, оцените количество попыток добраться до ваших секретов. Если станция установлена в корпоративной сети и недоступна извне, скорее всего, список заблокированных адресов будет пуст, но лучше и в этом случае не экономить на спичках – однажды хакеры задействуют свою бот-нет из зараженных компьютеров, среди которых могут оказаться компьютеры и вашей сети.
Защита консольного доступа по SSH
Подключитесь к Elastix через SSH-соединение как пользователь root и создайте пользователя, например, «admin1», назначьте пароль, предоставьте пользователю необходимый доступ:
groupadd sudoers
adduser – G sudoers admin1
passwd admin1
echo '%sudoers ALL = (ALL) ALL' >>/etc/sudoers
sed – i '2i\PATH=$PATH:/sbin:/usr/sbin' /home/admin1/.bashrc
Откройте файл настроек SSH
mcedit /etc/ssh/sshd_config
Добавьте список пользователей, которым позволено управлять сервером по SSH, и их IP-адреса, с которых разрешено подключаться для управления сервером по SSH.
Port 11122
AllowUsers [email protected] # from Office #1
AllowUsers [email protected] # from Office #2
AllowUsers [email protected] # from home
PermitRootLogin no
Если Вы не используйте GSS API (например, для авторизации через Active Directory), можно отключить этот протокол, чтобы SSH подключался быстрее:
GSSAPIAuthentication no
Перезапустите службу SSH:
service sshd restart
Подключитесь к системе как пользователь admin1:
ssh – p 11122 [email protected]
Подключившись к системе настройте сетевую переменную $PATH:
nano.bash_profile
измените строку PATH следующим образом:
PATH=$PATH:$HOME/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
сохраните изменения. Теперь подключайтесь к АТС только как admin1, забудьте про пользователя root. Для выполнения команд, требующих полных прав к системе используйте префикс «sudo» перед командами. Например, «sudo service asterisk restart».