Bezpieczeństwo Asteriska – uruchomienie jako użytkownik niż root
1) Dodanie użytkownika i grupy
To od czego chcielibyśmy zacząć to dodać użytkownika innego niż 'root'. Poprawi to bezpieczeństwo centrali, bo uruchomienie centrali na innym użytkowniku niż root sprawi, że polecenia CLI, które wykonują skrypty linuksowe, nie zostaną wykonane bez koniecznych uprawnień. Możesz też dodać dostęp np. do SSH tylko dla konkretnego użytkownika, który będzie mógł zarządzać centralą, ale nic nie namiesza w systemie.
W naszym przykładzie wykorzystamy użytkownika 'asterisk'. Żeby dodać użytkownika i grupę wykonaj:
Jeśli planujesz osobne logowanie na tego użytkownika dodaj też hasło:
2) Zmiana uprawnień
Kolejnym krokiem będzie zmiana uprawnień do poszczególnych plików i katalogów.
Jeśli centrala zainstalowana jest w jakimś niestandardowym katalogu lub potrzebujesz znaleźć pliki lub katalogi, które mogą wymagać zmiany uprawnień możesz wykonać:
Pora na zmianę uprawnień:
Polecenie 'ls -l' powinno pokazać, że nasz nowy użytkownik jest właścicielem katalogu.
Na koniec musimy jeszcze powiedzieć naszej centrali, że powinna działać jako inny użytkownik. Możemy to zrobić w pliku asterisk.conf
. Zazwyczaj znajduje się on w katalogu /etc/asterisk/
.
W środku znajdziemy zmienne 'runuser
' oraz 'rungroup
'. Plik wygenerowany przez make basic-pbx
zawiera te zmienne zakomentowane. Wystarczy je odkomentować.
Zmiany powinny być automatycznie widoczne po wejściu do konsoli, nawet bez przeładowania.
I to wszystko! Od teraz centrala będzie uruchomiona jako 'asterisk', czyli zgodnie z założeniem: użytkownik inny niż 'root'.