lunedì 15 giugno 2009

Mettere in sicurezza TrixBox asterisk

Salve...

posto un pò di regole base, per la sicurezza di trixbox-asterisk. il primo punto e' troppo BANALE, ma per completezza lo devo inserire!

1) cambiare la password di default di root (che e': password) con il seguente comando: dopo essersi loggati come root, digitare al prompt dei comandi:
passwd

verra' chiesta due volte, di digitare la nuova password. Non mettere password troppo banali, o troppo corte. L'ideale e' usare una password di almeno 8 caratteri, comprendenti lettere maiuscole, lettere minuscole, numeri e simboli.

2) cambiare la password dell'utente maint (default: password), che serve ad accedere a http://ip_trixbox/maint digitando il seguente comando:

passwd-maint

verra' chiesto due volte di digitare la nuova password. Non mettere password troppo banali, o troppo corte. L'ideale e' usare una password di almeno 8 caratteri, comprendenti lettere maiuscole, lettere minuscole, numeri e simboli.

3) cambiare la password relativa a ll'utente wwwadmin (default: password), digitando il seguente comando:

htpasswd /usr/local/apache/passwd/wwwpasswd wwwadmin

4) impedire ai robot malevoli, di accedere al servizio SSH, editando i file /etc/hosts.allow ed /etc/hosts.deny

ecco il mio consiglio. Inserire nel file /etc/hosts.allow la seguente riga

sshd: 192.168.1.0/255.255.255.0

questa riga sopra, inserita nel file /etc/hosts.allow permetterà solo ai PC della rete LAN di accedere al trixbox a mezzo SSH. OVVIAMENTE, si presume che l'indirizzo IP del server asterisk, e' del tipo 192.168.1.x
Se avete un indirizzo diverso, come ad esempio 192.168.0.x allora dovreste inserire la seguente riga

sshd: 192.168.0.0/255.255.255.0

Per finire, digitiamo il file /etc/hosts.deny per impedire ai robot ruba password, di entrare, inserendo la seguente riga:

sshd: ALL

Credetemi, e' importantissimo bloccare il servizio SSH dall'accesso dall'esterno della LAN. Potete ovviamente farlo pure con un firewall, e ottenere lo stesso effetto.

5) cambiare la password di FOP portal (default: passw0rd) (<-- notare lo "zero") Usando nano come editor, aprire il file di configurazione digitando il comando: /etc/amportal.conf nano -w /etc/amportal.conf Andare alla linea FOPPASSWORD=passw0rd. Rimpiazzare passw0rd con la password di vostra scelta, FOPPASSWORD=vostra_password quindi digitare CTRL-X per uscire, e "Y" per salvare i cambiamenti. Riavviate FOP server: amportal restart 

6) restringere l'accesso alla pagina http://ip_trixbox

editare il file /etc/trixbox/httpdconf/trixbox.conf digitando:

nano -w /etc/trixbox/httpdconf/trixbox.conf

Aggiungere le seguenti righe:
#Password protect the Asterisk@Home Splash Page /var/www/html
< directory >
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /usr/local/apache/passwd/wwwpasswd
Require user maint
< /directory >

Uscire da nano, digitando CTRL-X e quindi digitare "Y" per salvare i cambiamenti fatti. Riavviare Apache col comando

/etc/init.d/httpd restart

7) come cambiare la password di defalut di mysql (root --> passw0rd ; asteriskuser --> amp109):

Cambiate sia la password dell'utente root (default: passw0rd) che quella dell'utente asteriskuser (default: amp109)

Digitare al prompt ESATTAMENTE il seguente comando (fare copia ed incolla):

mysqladmin -u root -p'passw0rd' password '123456'

(sostituite 123456 con la vostra nuova password; ricordatevi che la nuova password, va lasciata in mezzo agli 'apici')

Poi, per cambiare la password di asteriskuser, seguite i seguenti passaggi:

entrate in mysql digitando:

mysql -u root -p
(vi sarà chiesta la password di root)

a questo punto, comparirà la shell di mysql >

Digitare esattamente:
SET PASSWORD FOR asteriskuser@localhost = PASSWORD('123456');
(sostituite 123456 con la vostra nuova password; ricordatevi che la nuova password, va lasciata in mezzo agli 'apici')

A questo punto, vi dara' Query ok, e potete uscire dalla shell di mysql, digitando:
exit

Alla fine, aggiornate i seguenti file
* /etc/amportal.conf:

AMPDBUSER=asteriskuser

AMPDBPASS=mypass

* /etc/asterisk/cdr_mysql.conf:

password=mypass

user=asteriskuser

* /etc/asterisk/res_mysql.conf:

dbuser = asteriskuser

dbpass = mypass

OVVIAMENTE, sostituire mypass con la vostra nuova password.

8 ) come cambiare la password di Asterisk Manager Interface (AMI)




Bisogna editare tre file:

/etc/asterisk/manager.conf
/etc/amportal.conf
/var/www/html/maint/modules/asterisk_info/asterisk_info.php

manager.conf
alla riga

[admin]
secret = amp111
 
cambiare 'amp111' con la nuova password
 
amportal.conf
alla riga 
AMPMGRUSER=admin
AMPMGRPASS=amp111
 
cambiare 'amp111' con la nuova password

 
asterisk_info.php 
alla riga 
$ami->connect("127.0.0.1:5038", 'admin' , 'amp111');

cambiare 'amp111' con la nuova password


Dopo avere terminato la procedura per il cambio di password di Asterisk Manager Interface, andare su FreePBX (aprire http://ip_trixbox/maint ) , poi su "PBX Setting", e cliccare sul pulsante arancione "Apply configuration Changes" (Applica Cambiamenti). Se non dovesse comparire il pulsante arancione, allora entrare in un qualsiasi settaggio, ad esempio cliccare su un interno, e salvare il settaggio. In tal modo, comparirà il pulsante arancione, e potremo salvare la nuova configurazione, compresa la nuova password di AMI. Così facendo, infatti, freePBX auto-rigenera il file extensions_additional.conf che conterrà nel suo interno la nostra nuova password di AMI, che per la precisione, è al rigo 119 di extensions_additional.conf (AMPMGRPASS = xxxxxxxx). Questo ultimo passaggio, è importante, altrimenti gli interni potrebbero non funzionare. Non editare manualmente il file extensions_additional.conf, ma fatelo auto-rigenerare a FreePBX.

9 ) per finire, cambiamo la password di meetme

editare i due file
/var/www/html/web-meetme/lib/database.php
/etc/asterisk/cbmysql.conf

e sostituire all'interno dei due file, la password di mysql, utente root (di default è passw0rd)
con la nuova password mysql di root da voi precedentemente scelta.

Al solito potete usare il comando nano -w

--
I miei comandi, proposti sopra, funzionano su trixbox 2.6.x , e con le procedure di cambio password, così come da me indicate, non dovrebbero esserci problemi di interferire con le normali funzionalità di trixbox-asterisk, e si incrementa notevolmente la sicurezza.

Alcune utili info, le ho trovate qui
http://www.voip-info.org/wiki/view/Asterisk@Home+Handbook+Wiki+Chapter+3
http://www.freepbx.org/support/documentation/faq/changing-the-asterisk-manager-password

Nessun commento: