VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

инструкция по разграничению доступа к Trixbox 2.6

Обо всем касательно FreePBX, MetPBX, TrixBox, Elastix, AstPBX и всех других дистрибутивов

Модераторы: april22, Zavr2008

Ответить
smilefox
Сообщения: 26
Зарегистрирован: 15 сен 2010, 09:56

инструкция по разграничению доступа к Trixbox 2.6

Сообщение smilefox »

Надеюсь кому-то из начинающих поможет.
По умолчанию при установки Триксбокса есть только 1 пользователь maint обладающий полными правами на сервер.
Если необходимо разграничить доступ, то можно сделать так:

а) Необходимо создать пользователя в разделе администраторы в FreePbx и задать ему права.
б) Необходимо создать такого же пользователя и с таким же именем паролем для доступа к httpd. Это делается через утилиту: htpasswd
htpasswd /usr/local/apache/passwd/wwwpasswd newusername
Команда добавляет пользователя newusername в существующий файл /usr/local/apache/passwd/wwwpasswd, если пользователь уже существует, просто произойдет его смена пароля.
в) Прописать доступ в файле /etc/trixbox/httpdconf/trixbox.conf для нового пользователя.
Директория /var/www/html/admin дает ограниченные права к серверу (нет возможности перезагрузки сервера и правки файлов конфигурации)
Директория /var/www/html/maint дает полный доступ к Триксбоксу.
г) Изменить тип авторизации в файле /etc/amportal.conf
AUTHTYPE=database
д) Выполнить команду amportal restart и httpd restart
ded
Сообщения: 15621
Зарегистрирован: 26 авг 2010, 19:00

Re: инструкция по разграничению доступа к Trixbox 2.6

Сообщение ded »

Если меняем тип авторизации в файле /etc/amportal.conf
AUTHTYPE=database
то предыдущие шаги не нужны. Все аккаунты начинают писать-читать в/из MySQL, а не из wwwpasswd
smilefox
Сообщения: 26
Зарегистрирован: 15 сен 2010, 09:56

Re: инструкция по разграничению доступа к Trixbox 2.6

Сообщение smilefox »

Думаю в freepbx так и есть, но в Trixbox 2.6 после этих действий зайти на веб морду вообще не возможно.
ded
Сообщения: 15621
Зарегистрирован: 26 авг 2010, 19:00

Re: инструкция по разграничению доступа к Trixbox 2.6

Сообщение ded »

http://ip_addr/admin - прямой ход.
smilefox
Сообщения: 26
Зарегистрирован: 15 сен 2010, 09:56

Re: инструкция по разграничению доступа к Trixbox 2.6

Сообщение smilefox »

Да, вот именно!
Работает, только если сделать как писал switch.
Иначе в логах ошибки:
[Tue Dec 21 23:42:17 2010] [error] [client 192.168.241.1] user admin not found: /admin
(т.к. такого юзера нет в trixbox.conf )
[Tue Dec 21 23:42:26 2010] [error] [client 192.168.241.1] user wwwadmin: authentication failure for "/admin": Password Mismatch
(что тоже правильно т.к. пароли не совпадают.)

Но если мы удалим аутентификацию в trixbox.conf, тогда любой может зайти в http://ip_addr/maint и перезагрузить сервер или поправить файлы конфигурации.
ded
Сообщения: 15621
Зарегистрирован: 26 авг 2010, 19:00

Re: инструкция по разграничению доступа к Trixbox 2.6

Сообщение ded »

Коллега, мне жаль, чес-слово! Вас не задевало.
Публичный доступ к http://ip_addr/maint нужно сразу отключать. (А уж доступ к FOP тем более!)
С этого начинается секъюрность.
Иначе сканеры выгребают установленные триксы пачками, и складвают к ногам кул хацкеров уже в отсортированном виде как отрезанные уши врагов.
Бери - не хочу!
smilefox
Сообщения: 26
Зарегистрирован: 15 сен 2010, 09:56

Re: инструкция по разграничению доступа к Trixbox 2.6

Сообщение smilefox »

Задевало, но к счастью не сильно.. на 500$
После этого решил вопрос кардинально: через iptables снаружи оставил доступ только для rtp портов и 5060 с нужных мне адресов.

Сейчас работаю над системой в корп сети, поэтому сильно не зацикливаюсь.
Про FOP то и не знал. Может стоит просто закрыть http://ip_addr/user через /etc/trixbox/httpdconf/trixbox.conf и вместо стандартного пользователя maint создать другого?
Ответить
© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH