По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Сталкивались ли вы задачей одновременной типовой настройки телефонный аппаратов? Например, настроить 50 штук IP – телефонов Yealink. Эта задача будет достаточно рутинной и затратной по времени. В FreePBX создан модуль End Point Manager, который позволяет создать шаблон настроек для определенных групп устройств и затем перенести его на телефонные аппараты. О нем и поговорим. /p> Пару слов про модуль End Point Manager Как уже сказано выше, модуль EPM позволяет производить автоматическую настройку различных единиц оборудования, от конечных телефонных аппаратов до шлюзов. Условно говоря, настройка модуля делится на следующие сегменты: Global Settings - глобальные настройки модуля, такие как IP – адрес Asterisk и прочие Extension Mapping - раздел, в котором сопоставляется шаблон и MAC – адрес устройства Brands - в разделе можно посмотреть марки оборудования, которые были сконфигурированы с помощью EPM Модуль является платным и стоит 75$ на 25 лет. В бесплатной версии модуля, доступна только настройка телефонов марки Sangoma. Полный перечень приведен в таблице ниже. Add Brand - добавьте необходимые брэнды оборудования, для которого вы бы хотели создать шаблон Image Management - здесь можно загрузить картинку в формате GIF, JPEG, или PNG и размером не более 20 мегабайт, которая будет использоваться на оконечных телефонов, например в роли фонового изображения. Данный функционал работает только на устройствах с поддержкой фонового изображения Basefile Edit - данный раздел позволяет менять различные значения, которые нельзя изменить через стандартные настройки телефона, например через его GUI. Представляет из себя XML – файл. Рекомендуем настраивать данный раздел только в том случае, если вы точно знаете что делаете. Custom Extensions - раздел аналогичен настройке в модуле Custom Extension Firmware Management - раздел служит для обновления прошивки телефонов. Network Scan - сетевая утилита, которая позволяет сканировать указанную сеть на предмет наличия в ней поддерживаемых устройств и уточнения их MAC - адресов Без приобретения лицензии на модуль вы сможете работать со следующими устройствами: Производитель Модель Поддержка фонового изображения Sangoma s300 Нет Sangoma s500 Да Sangoma s700 Да Sangoma Vega 50-4FXS - Sangoma Vega 50-8FXS - Sangoma Vega 3000-24FXS - Sangoma Vega 5000-24FXS - Sangoma Vega 5000-50FXS - Поддерживаемые без лицензии устройства В случае оплаты модуля, для работы будут доступны Aastra, Algo, Audio Codes, Cisco, Cortelco, CyberData, Digium, Grandstream, Mitel, Mocet, Obihai, Panasonic, Phoenix Audio, Polycom, Snom, Uniden, VTech, Xorcom и всеми любимый Yealink. Настройка Global Settings В настройках EPM переходим в раздел Global Settings: Internal IP Address - укажите IP – адрес вашего Asterisk. В нашем случае это 192.168.0.77 External IP Address - если какие-то из ваших телефонов будут подключаться к АТС из внешней сети, то в данном поле укажите внешний IP – адрес или FQDN (Fully Qualified Domain Name) Ports - в разделе будут указаны порты для WEB – доступа, порт для HTTP провижининга (автоматической настройки телефонов) и RESTful приложений Phone Admin Password - все управляемые телефоны имеют пароль для администратора. В данном поле вы можете указать его для всех устройств Phone User Password - некоторые модели телефонов, например Cisco, имеют систему авторизации для администратора через обычного пользователя. Здесь нужно указать его пароль ReSync Time - через указанное время телефоны будут обращаться к серверу на предмет изменения в их конфигурационных файлах. По умолчанию, время равно 86400 секунд, что есть 1440 минут, что в свою очередь ровняется 24 часа :) XML-API (RestAPI) Default Login - включение/выключение данной опции позволяет телефону обращаться к различным приложениям через RestAPI Extension Mapping IP Addresses - отображать ли IP – адрес устройства на этапе сопоставления телефона и внутреннего номера Extension Mapping Phone Status - отображать ли время пинга до устройства. Оба параметра замедляют работу. По окончанию настроек нажмите Save Global Настройка шаблона настроек Переходим к настройкам. Сделаем шаблон на примере производителя Sangoma. Для этого, в настройках модуля, в блоке Brands, выберем Sangoma. Для добавления нового шаблона нажимаем New Template. Производим настройки в первой вкладке, которая называется General: Template Name - даем имя для нашего шаблона. Например, New_template Default Template - будет ли данный шаблон шаблоном по умолчанию для телефонов. Выставляем Default Destination Address - в данном поле необходимо указать IP – адрес или доменное имя для нашей IP – АТС Asterisk. При нажатии на кнопки Internal или External, при сохранении, в поле будет автоматически подставлено значение внутреннего или внешнего IP – адреса АТС соответственно. Это удобно в том случае, если мы делаем разные шаблона для внутренних телефонов и для внешних. Provision Server Address - сервер, к которому телефон будет обращаться за конфигурацией. По умолчанию это наш Asterisk Provision Server Protocol - протокол, который будет использовать IP – телефон чтобы получить файл конфигурации. Оставьте в данном поле TFTP Переходим во вкладку Regional Time Zone - временная зона. Поле прибавляет, или удаляет определенное количество часов к GMT (среднее время по Гринвичу). Например, в Москве GMT +03:00 и мы выбираем +03.00 Primary Time Server - главный сервер синхронизации времени по протоколу NTP. Вы можете посмотреть список серверов в интернете Daylight Savings -опция подсказывает телефону, использовать ли настройки DST (Daylight Saving Time) – то есть сезонное время Country Tones - опция настройки гудка. В разных странах они различаются, выберите подходящий Web GUI Language - язык графического интерфейса администрирования IP - телефона LCD Display Language - язык на дисплее телефона Date Format - формат даты. Нам привычно ДД-ММ-ГГ Time Format - формат времени. Мы выбрали 24 часовой формат Двигаемся дальше и переходим во вкладку Options. Разберем здесь самые основные опции: Background Image - выберите фоновое изображение, которое ранее, было залито с помощью пункта меню Image Management Line Label - информация, которая будет отображаться о пользователе телефона на главном дисплее. Может быть следующих видов: Name - имя пользователя. Например, «Иван Петров» Extension - показывать только номер абонента. Например, «101» Name-Extension - показывать и имя и номер. Например, «Иван Петров 101» Multicast Enable - поддержка Multicast пейджинга Функционал Multicast Paging появился в 13 версии FreePBX. Если коротко, то теперь телефон может отправлять на заранее сконфигурированный широковещательный адрес пейджинг запросы. Более подробно вы можете почитать в статье про новинки FreePBX 13 Multicast Address - мультикаст адрес, о котором мы рассказали выше Dial Patterns - шаблон набора номеров для IP - телефона Ring Tone - выбрать номер звукового сопровождения для звонка (рингтон) Screen Saver - что показывать на дисплее телефона по таймауту бездействия Screen Saver Timeout Call Waiting Signal - хотите ли вы услышать звуковой сигнал, при условии того, что вы уже разговариваете с одним из абонентов и вам поступает второй звонок BLF Alert - тип индикатора BLF. Это может быть визуальное мигание, аудио сопровождение или оба сразу По окончанию настроек не забываем нажимать Save Template Соответствие телефона и шаблона После того, как мы произвели настройку шаблона его необходимо проассоциировать с телефонным аппаратом. Мы будем делать это с помощью MAC – адреса устройства. Переходим в раздел Extension Mapping и нажимаем Add Extension В столбце слева выбираем необходимый номер По середине, выбираем производителя и вводим MAC – адрес телефона В левом столбце выбираем шаблон и модель телефона Теперь, чтобы доставить на телефоны адрес TFTP сервера (адреса нашего Asterisk в данном случае), в настройках DHCP сервера необходимо настроить параметр option 150 с IP – адресом TFTP. Телефон обратиться на сервер с просьбой предоставить файл конфигурации для устройства с его MAC – адресом, которое мы создали на этапе ранее.
img
В этой статье рассмотрим, как управлять учетными записями пользователей и групп в Linux. Также посмотрим различные базы данных, в которых хранится информация о пользователях и группах и что такое теневые пароли. Изначально в Linux было 2 файла /etc/password и /etc/group. В первом файле хранилось: Имя_пользователя : пароль : uid : gid : сведения (поле предназначено для персональных данных) : домашняя_папка : командная оболочк(которая запускается при входе пользователя в систему) Во втором файле хранилось: имя_группы : пароль : gid : члены_группы У группы может быть пароль, но данную функцию очень редко, кто использует, в таком случае пароль будет запрашиваться при смене членства в группе. Данные файлы плохи тем, что у всех пользователей системы, по умолчанию, есть права на чтение. Такие права необходимы потому, что разные пользователи, разные демоны и сервисы обращаются к данным файлам, чтобы брать оттуда информацию. Соответственно в этих файлах хранился пароль пользователя, хотя и в зашифрованном виде, но с помощью различных методов криптографии подбора можно было воспользоваться данным паролем, потому что у всех пользователей был на эти файлы доступ. Поэтому был создан механизм теневых паролей. Были созданы вот такие 2 файла: /etc/shadow и /etc/gshadow. И к этим двум файлам имеет полный доступ только пользователь root. Следовательно, теперь в файлах passwd и group указываются не пароли, а специальные символы, говорящие что пароли были перенесены в файлы shadow и gshadow. В новом файле shadow хранится побольше информации о пароле пользователя. Это: Логин Пароль Время после смены пароля – это если пароль сбрасывался после времени установки системы Минимальный срок действия пароля - как часто можно менять пароль, если, например, стоит 5 дней, то пароль можно менять не чаще, чем раз в 5 дней. Максимальный срок действия пароля – максимальное количество дней, по прошествии которых обязательно необходимо сменить пароль. Срок предупреждения – за сколько дней до истечения пароля система предупредит о том, что необходимо сменить пароль. Время работы с истекшим паролем – это параметр позволяет указанное число дней работать с истекшим паролем. Срок для блокировки пароля – данный параметр отвечает за время жизни самого пароля, например, пароль будет работать 100 дней, после этого заблокируется. Соответственно данные параметры можно при необходимости задавать при создании учетной записи пользователя и паролей. Если провести аналогию с операционной системой Windows, то подобные параметры в Windows мы можем задавать через GPO (Group Policy Object - набор правил или настроек, в соответствии с которыми производится настройка рабочей среды в операционных системах Windows). Отличие заключается в том, что в Windows эти параметры выставляются в абсолютных величинах числом, а в операционной системе Linux, относительно даты 1 января 1970 года. Ну и соответственно gshadow имеет следующую структуру, разделенную символом :. Имя группы Пароль зашифрованный Администраторы, те учетные записи, которые могут менять пароль группы или добавлять другие аккаунты Члены групп Следовательно, пароли могут хранится и в тех, и в тех файлах, отличие в том, что у пользователей есть доступ на чтение к файлам passwd и group, а к shadow и gshadow только у пользователя root. Данный механизм называется механизмом теневых паролей, и он присутствует во всех современных Linux системах. Теперь, посмотрим, как это выглядит в операционной системе. Заходим в файл passwd любым текстовым редактором, например, nano, без повышения привилегий. Возьмем пользователя: list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin Логин - list, значок X говорит о том, что пароль хранится в теневом файле. Далее 38 – id пользователя, 38 - gid, прочая информация - Mailing List Manager, домашняя папка пользователя - /var/list и оболочка которая используется при входе - /usr/sbin/nologin. Можно увидеть, что вместо оболочки у пользователя указан nologin – это означает, что пользователь не может войти, используя стандартный экран входа, используя стандартные средства. На картинке можно найти пользователя siadmin. Можно также увидеть все остальные параметры этого пользователя. У него совпадает uid и gid, это связанно с тем , что при создании пользователя создается одноименная группа. Можно, конечно, при создании указать, что пользователь будет входить в другую группу и не создавать одноименную, но по умолчанию она создается. В конце строчки мы можем увидеть /bin/bash, которая запускается при входе в систему. Можно обратить внимания на uid и gid все реальные пользователи их имеют числом выше 1000. Все пользователи, у которых число ниже – это служебные пользователи или созданные автоматически. В некоторых дистрибутивах Linux нумерация реальных пользователей начинается с 500. Посмотрим файл с группами, вводим команду nano /etc/group Данная база очень простая. Указано наименование группы, знак X говорит, о том, что пароль хранится в теневой базе, идентификатор группы и список пользователей в данной группе. Единственный нюанс - если пользователь входит в свою же группу, то после знака двоеточие пользователь не отображается. Далее файлы /etc/shadow и /etc/gshadow, данные файлы не редактируются с помощью текстовых редакторов, а через специальные команды. Данные файлы — это просто хранилище информации. Эти утилиты будут рассмотрены в следующем уроке. Зайти в эти файлы могут только пользователи имеющие права root или с помощью команды повышающей привилегии sudo. sudo nano /etc/shadow Теперь мы видим в данном файле через двоеточие: Имя пользователя * или зашифрованный пароль Срок с последнего изменения пароля в днях Минимальный срок изменения пароля, если 0, то сменить пароль можно сразу 99999 - срок действия пароля, 7 - количество дней за которое до истечения пароля придет предупреждение Символ * говорит о том, что под данным пользователем нельзя зайти стандартным способом, обычно это применяется для служебных аккаунтов, т.е вход вообще заблокирован под данным аккаунтом. Вот так вот реализуется механизм теневых паролей.
img
Как известно, сильный пароль – это очень важная составляющая безопасности любого актива, к которому, тем или иным образом можно получить доступ. Не даром все best practices начинаются с рекомендаций устанавливать сильный, устойчивый к взлому пароль. В данной статье мы будем говорить о прописных истинах, поэтому её можно считать скорее «дружеским советом» для тех, кто только начинает своё знакомство с FreePBX. Слабый пароль, неважно где – это большой риск, который нельзя оставлять без внимания и следует немедленно устранить. Если вам нужно создать криптостойкий пароль, то можно воспользоваться нашим онлайн генератором устойчивых паролей Обзор Начиная с версии 13 во FreePBX появился модуль Weak Password Detection который автоматически детектирует и сообщает о том, что в системе имеется слабый пароль, а также указывает, где именно он обнаружен: на внутреннем номере (Extension), транке (Trunks), конференц - комнате (Conferences) и других модулях. Чтобы проверить, имеется ли у вас в системе слабый пароль, откройте вкладку Reports → Weak Password Detection. Вот как должно выглядеть окно данного модуля у всех без исключения (окно нормального человека): Данное сообщение говорит нам о том, что у нас в системе нет слабых паролей. А теперь, давайте-ка немножко похулиганим и создадим пару сущностей с очень слабыми паролями и посмотрим что из этого выйдет. Наплевав на все best practices, создадим внутренний номер 1111 с паролем 1111: При создании внутренних номеров, FreePBX генерирует сильный, устойчивый к взлому 32-значный пароль. Рекомендуем не менять его без крайней необходимости! А ещё создадим транк с паролем 000: А теперь отправляемся в модуль Weak Password Detection и перед нами открывается «окно курильщика». Вот так не должно быть никогда: Помимо этого, нам будут напоминать о слабых паролях в Dashboard’е: Как только Вы настроите внутреннюю нумерацию, линии к провайдерам (транки), пользовательский доступ, не поленитесь, зайдите лишний раз в модуль Weak Password Detection и если там будет уведомление о слабом пароле в системе – незамедлительно смените его! Но помните, что сильный пароль – это не гарантия безопасности, это всего лишь один из уровней, который должен применяться в комплексе с остальными мероприятиями по защите системы.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59