По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Жизнь системного администратора не проста. Поддержка систем, безопасность сетевого контура, решение проблем - уследить за всем сложно. Пользовательские пароли – важный нюанс и их, безусловно, нужно менять с определенной периодичностью.
В статье расскажем, как автоматически заставлять пользователей Linux сменить их пароли.
Срок действия паролей
Чтобы получить информацию о пользовательских паролях и о дате их окончания введите команду:
chage -l
Будет выведена следующая информация:
Когда пароль был последний раз изменен;
Дата окончания действия пароля;
Сколько дней осталось до окончания действия пароля;
Когда учетная запись пользователя будет закончена (можно, пожалуйста, далее мы будем говорить «заэкспайрится»?)
Минимальное количество дней между итерацией смены пароля;
Максимальное количество дней между итерацией смены пароля;
Заставляем пользователя менять пароль каждые 90 дней
Следующей командой вы можете поставить жесткое правило смены паролей:
sudo chage -M 90
Команду можно выполнить от root пользователя или от юзера с sudo правами. Проверить, что настройка установлена корректно, можно с помощью команды chage -l
Срок действия учетной записи
Представьте, у вас есть два юзера: Иван и Петр. И доступ им нужно организовать на 2 дня, с момента сегодняшней даты (сегодня echo rus_date("j F");). Получается, создаем им пользователей:
sudo adduser ivan
sudo adduser petr
Создаем пароли для них:
sudo passwd ivan
sudo passwd petr
Как мы уже сказали, Иван и Петр уезжают через 2 дня. Соответственно, делаем для них следующую конфигурацию:
sudo chage -E echo date("Y-m-d", strtotime("+2 days")); ivan
sudo chage -E echo date("Y-m-d", strtotime("+2 days")); petr
Если вы запустите команду chage -l , то увидите актуальную дату жизни аккаунта. Как только аккаунты Ивана и Петра заэкспайрятся, их можно будет удалить командой:
sudo chage -E -1 ivan
sudo chage -E -1 petr
Сколько времени на смену пароля?
Пароль Геннадия заэкспайрился (истек срок годности) в воскресение. Мы дадим Гене 5 дней, чтобы он зашел в свою учетную запись и сменил пароль. Если он этого не сделает, аккаунт будет заблокирован. Сделать это можно вот так:
sudo chage -I 5 gennady
Ну, а если Геннадий так и не сменит пароль и учетная запись заблокируется, удалить ее можно вот так:
sudo chage -I -1 gennady
Предупреждения для пользователей
Вы – адекватный человек. И наверняка хотите, чтобы ваши юзеры были уведомлены о смене пароля заранее. Например, чтобы Геннадий узнал, что через 7 дней истекает срок годности его пароля, дайте следующую команду:
sudo chage -W 7 gennady
Защищаемся от частой смены паролей
Вдруг в вашем штате завелся очень взволнованный безопасностью сотрудник, который меняет пароли каждый день? Такое. Чтобы сделать минимальное количество дней между сменой паролей в две недели (14 дней), можно указать следующую команду:
sudo chage -m 14 sergey
Сделали большой лимит и передумали? Не проблема – удалить ограничение в днях можно вот так:
sudo chage -m 0 sergey
Графический интерфейс администратора IP – АТС Asterisk – FreePBX, насчитывает огромное количество опций настройки, вариантов маршрутизации, подключения различного оборудования, начиная от телефонных аппаратов и заканчивая шлюзами. Задумались о внедрении Asterisk? В статье мы опишем базовую настройку тринадцатой версии FreePBX сразу после установки дистрибутива FreePBX.
Пошаговое видео
Подключение к FreePBX
Чтобы подключиться к графическому интерфейсу FreePBX, нужно ввести IP – адрес Asterisk, который вы указали на этапе установки. Если вы забыли, какой IP – адрес указали, то подключите монитор и клавиатуру к вашему серверу, а затем введите данные для пользователя root, как показано ниже:
При подключении, вам будет указан IP – адрес вашего сервера. Если версия вашего дистрибутива отличается, и вы не увидели аналогичного вывода, укажите следующую команду:
[root@localhost ~]# ifconfig
Вывод команды позволит вам увидеть все доступные интерфейсы и их IP – адреса.
Активация и пароль администратора
Подключившись к FreePBX 13 через интернет – браузер вам будет сразу предложено создать учетную запись администратора указав логин, пароль и адрес электронной почты администратора системы. После успешного создания, выберите на главной страницу пункт FreePBX Administration
и укажите созданные параметры:
Сразу после подключение, перейдите во вкладку Admin → System Admin и нажмите кнопку Activation
Далее нажмите кнопку Activate
После этого, следуйте инструкциям инсталлятора. Необходимо будет указать адрес электронной почты, пароль, номер телефона и местоположение вашего сервера.
Настройки SIP
Модуль SIP Settings это графическая визуализация настроек в файле /etc/asterisk/sip_nat.conf. Здесь, с помощью графического интерфейса можно настроить важнейшие параметры, такие как настройки NAT, внешний IP – адрес и настройки кодеков. Чтобы перейти к настройке нажмите на вкладку Settings, а далее Asterisk Sip Settings.
Allow Anonymous inbound SIP Calls
Данная опция позволяет разрешить, или запретить входящие звонки с неизвестных номеров. Мы советуем запрещать данный вид звонков, так как потенциально, разрешенные анонимные звонки могут стать лазейкой для злоумышленников.
Local Networks
Введите локальные (находящиеся внутри вашей сети) адреса подсетей, которым Asterisk будет доверять. Например, 192.168.2.0/255.255.255.0
RTP Ranges
Укажите диапазон RTP портов. Рекомендуем все оставлять по умолчанию.
Strict RTP
Когда между двумя устройствами устанавливается RTP поток, то назначаются адреса источника и назначения. При включенной данной опции, все пакеты приходящие с другого IP – адреса буду отброшены. Мы рекомендуем не выключать данную опцию.
Codecs
Галочкой отметьте нужные кодеки.
Положение кодеков указывает их приоритет. Например, на скриншоте ниже приоритет отдан g.711 u-law, затем g.711 a-law, gsm и так далее. Более подробно про телефонные кодеки использующиеся в VoIP сетях вы можете прочитать в наших прошлых статях.
Настройка NAT в FreePBX
В большинстве случаев, если администратор обнаруживает проблему односторонней слышимости, или то, что звонки обрываются спустя несколько секунд разговора – проблема в NAT. Вот что нужно сделать, чтобы избавиться от этой проблемы: в настройка модуля Asterisk SIP Settings , переходим во вкладку Chan SIP Settings и отмечаем следующее:
NAT - yes
IP Configuration - Static IP
Override External IP - введите ваш внешний IP - адрес
Reinvite Behavior - No
Обязательно укажите в настройках Local Networks в предыдущей вкладке вашу локальную подсеть. Помимо этого, пробросьте на вашем маршрутизаторе порт 5060 и диапазон портов из параметра RTP Ranges, по умолчанию равный 10000-20000
Настройка сетевых параметров FreePBX
Есть три важных пункта данной настройки:
Настроить статический IP – адрес для сервера
Настроить DNS
Настроить временную зону
Перейдем к настройке IP. Для этого, перейдите во вкладку Admin → System Admin→ Network Settings
Здесь мы настраиваем следующие опции:
Network Interface - сетевой интерфейс, то есть конкретная сетевая карта (NIC)
IP Assignment - выберите Static чтобы настроить статический IP - адрес
Static IP - введите IP – адрес сервера
Netmask - маска сети
Gateway - шлюз по умолчанию
Start Automatically - старт при загрузке сервера
Далее, переходим к настройке DNS. Для этого переходим в боковом меню навигации к пункту DNS. Здесь просто указываем адрес DNS сервера, например 8.8.8.8:
Идем дальше. Теперь настроим временную зону, перейдя в боковом меню навигации в пункт Time Zone. В данном примере, наш сервер располагается в Москве:
Настроим уведомления нашего сервера Asterisk, при таких сбоях, как например малое дисковое пространство или сбой в работе RAID массива:
Производим настройку следующих опций:
From Address - адрес электронной почты, который АТС будет указывать как адрес отправителя при формировании письма
Storage Notifications - почта для уведомлений о проблемах с хранением данных (сбой RAID или нехватка места на дисках)
Intrusion Detection Notifications IP - почта для уведомлений о вторжениях или попытках взлома сервера
Конфигурация системы безопасности
В Asterisk встроена система обнаружения вторжений – Fail2Ban. Для настройки системы перейдите во вкладку Admin → System Admin→ Intrusion Detection
Система гибкая, и , порой реагирует когда не нужно :) Поэтому, советуем заранее вносить в Whitelist перечень нужных IP – адресов, таких как IP SIP – прокси, адреса шлюзов, например FXS. Порой, бывает так, что в бан попадает IP – адрес FXS шлюза, к которому подключены все офисные аналоговые телефоны.
Status - мы рекомендуем всегда контролировать состояние Fail2Ban, чтобы статус был running
Intrusion Detection - в данном пункте можно остановить и перезапустить службу.
Ban Time - время в секундах, которое IP – адрес будет находиться в статусе блокировки
Max Retry - количество попыток подключения к АТС, которое пользователь может осуществить в течение Find Time.
Find Time - время, в течение которого у пользователя есть Max Retry попыток подключения к системе.
E-mail: - адрес электронной почты, на которую будут отправляться уведомления о внесении нового IP – адреса в бан.
Whitelist - список заранее внесенных IP – адресов, которым доверяет администратор.
Настройка внутренних номеров
Для настройки телефонных аппаратов и создания внутренних номеров перейдите во вкладку Applications → Extensions. Процесс создания внутренних номеров (Extension) мы описали в статье по ссылке ниже:
Создание Extensions
Настройка SIP - транка
Подключение к провайдеру является важнейшим этапом в настройке вашего сервера IP - АТС Asterisk. Именно настройки провайдера, позволят нашим пользователям совершать исходящие, и принимать входящие вызовы. Для настройки SIP – транка перейдите во вкладку Connectivity → Trunks. Процесс создания SIP - транка подробно расписан в статье по ссылке ниже:
Создание SIP - транка
Настройка маршрутизации
После того, как мы настроили внутренние номера и SIP – транки для подключения к провайдеру, нам необходимо настроить маршрутизацию вызова. В рамках данной настройки, мы будем учить наш сервер Asterisk как обрабатывать входящий и исходящие вызовы. Connectivity → Inbound/Outbound Routes. Данный процесс мы подробно описали в статье по ссылке ниже:
Настройка маршрутизации вызовов
Настройка голосового меню
Так как наш Астериск будет установлен в небольшой компании, мы планируем сделать голосовое меню, в котором будем помогать пользователям быстрее связаться с нужным человеком. Настройка голосового меню (IVR), регламентируется в модуле IVR, консоль конфигурации которого располагается во вкладке Applications → IVR. Настройку вы можете найти по ссылке ниже::
Настройка IVR
Последние два года выдались для роутеров MikroTik нелегкими. Они подвергались сканированию, уводились в ботнеты, майнили крипту без ведома хозяев и почти всё это стало возможным благодаря всего одной уязвимости в сервисе www, а точнее – незащищённому открытому 80 порту. (Используется для настройки роутера через web интерфейс)
Мы беспокоимся о своих читателях, поэтому хотим ещё раз предупредить всех обладателей роутеров MikroTik о данной проблеме.
Впервые, информация о том, что в роутерах MikroTik присутствует критическая уязвимость, позволяющая злоумышленнику исполнить произвольный код в случае успешной эксплуатации, появилась на весьма специфичном ресурсе – WikiLeaks, в рамках серии публикаций об средствах, которыми пользуется ЦРУ для взлома электронных девайсов, под названием Vault 7. Эксплоит получил название Chimay Red, точно также называется одно бельгийское пиво, вкусное или нет - не знаем.
Итак, давайте знакомиться – Chimay Red, cheers, друзья!
Вот лишь некоторый список того, на что способен данный эксплойт:
Удаленно выполнить код, в командной строке роутера. Например, перезагрузить устройство без Вашего ведома;
Извлекать пользовательские логины и пароли;
На моделях роутеров с жидкокристаллическим экраном, можно вывести на него какое-нибудь сообщение;
Скрыть все логи устройства;
И даже - заставить роутер играть какую-нибудь монофоническую мелодию. Например, из Super Mario :)
Согласитесь, не очень приятно знать, что кто-то может заставить Ваш роутер "петь" Super Mario.
В общем, для тех, кто не хочет читать дальше сообщаем - MikroTik выпустил прошивки чтобы закрыть эту уязвимость, поэтому если версия RouterOS у Вас ниже 6.37.5 или 6.38.5, то срочно обновитесь!
А мы продолжаем. Благодаря уязвимости Chimay Red, позже стало возможным создание вредоносных инструментов для проведения ряда атак.
VPNfilter
Вредонос, который обнаружило подразделение кибербезопасности Cisco Talos. Помимо роутеров MikroTik, данный вредонос бил и по другим устройствам класса SOHO. Сначала было непонятно, как вредоносные файлы загружались на роутеры MikroTik, однако позже выяснилось, что всему виной может быть уязвимость в сервисе www.
Несмотря на то, что вредонос получил название VPNfilter, ничего общего с технологией VPN он не имеет.
Что умеет VPNfilter:
Подслушивать ваш трафик;
Внедрять вредоносный контент в трафик, проходящий через роутер, и, с помощью этого, устанавливать вредоносное ПО на подключенные устройства;
Тупо выводить роутер из строя;
Извлекать пользовательские пароли и другую чувствительную информацию;
Устанавливать соединения в анонимные сети TOR к командному серверу и делать роутер частью ботнет сети.
Как понять, что Ваше устройство инфицировано:
Ваш роутер устанавливает неидентифицированные соединения по управляющим портам ко внешним неизвестным ресурсам;
Проверить можно на вкладке IP → Firewall → Connections. Там не должно быть соединений от вашего роутера к публичным IP адресам по портам удаленного администрирования, о которых Вы не знаете.
Допустим, внешний адрес Вашего роутера – 91.191.191.91
На Вашем роутере появились следующие директории:
var/run/vpnfilterm
/var/run/vpnfilterw
var/run/torr
var/run/tord
Ваш роутер самопроизвольно отключается, перезагружается, появляются изменения конфигурации, которые Вы не вносили
Как защитить устройство от вредоноса или удалить его, если оно уже заражено:
Итак, если Вы давно не обновлялись и используете старую версию RouterOS, а также у вас открыт доступ по 80 порту из Интернета, то ваше устройство может быть заражено.
Перезагрузить устройство. Однако, данная мера может не помочь, т.к вредонос способен "пережить" перезагрузку. Так что надёжнее будет сделать сброс к заводским настройкам. Предварительно, сохраните конфигурацию устройства
Обновить версию RouterOS на выпущенную после марта 2017 года. Исправления появились в 6.38.5, 6.37.5. Рекомендуется установить последнюю актуальную версию и патчи для Вашего устройства
Сменить пароль, особенно на встроенных профилях (admin). По возможности, отключите устройство от публичной сети, выполняя данный шаг
Настроить Firewall для сервиса www (порт 80). Лучше всего будет запретить использование данного сервиса и обращения к порту 80 из Интернета. Однако, если это невозможно, то необходимо разрешить доступ только с доверенных адресов.
Данный вредонос поразил такое большое количество устройств и вызвал такой большой резонанс, что компания Symantec даже разработала специальный ресурс, позволяющий определить, заражён ли Ваш роутер VPN filter'ом. Инструмент может проверить Ваш роутер на наличие плагина ssler, который вредонос устанавливает на определенной стадии заражения:
Symantec
Просто перейдите по ссылке компьютера, находящегося за роутером, который Вы хотите проверить и нажмите Run VPNfilter Check.
Даже если проверка не выявит признаков заражения ssler, роутер всё равно может быть заражён другими модулями VPNfilter.
Ботнет
Немного иначе обстоят дела с другим "вредоносом", а точнее целым ботнетом - Hajime. Этот ботнет уже попадал в поле зрения исследователей, когда захватывал в свои ряды умные устройства (IoT), однако, в марте 2018 года, ботнет резко переключился на роутеры MikroTik. Это подтверждается тем, что ботнет начал сканировать рандомные подсети по 80 (www) и 8291 (WinBox) порту. Сканирование порта 8291, говорит от том, что оно направлено именно на оборудование MikroTik.
После успешной идентификации устройства, ботнет применял ряд эксплоитов, чтобы ввести его в свои ряды.
Дальше дело пока не заходило, ботнет Hajime пока не был замечен ни в массированных DDoS атаках, ни даже в рассылке спама. Есть даже предположение, что автор Hajime - это добрый хакер (white hat), который укрепляет безопасность систем. Исследователи Symantec нашли в заражённых устройствах зашифрованное сообщение именно такого содержания.
Так или иначе, ещё раз рекомендуем установить последние обновления для Ваших роутеров и регулярно следить, чтобы прошивка была актуальной.
Если Вы подозреваете, что Ваше устройство заражено или просто хотите это проверить, то предлагаем воспользоваться следующим способом.
В интернете есть множество открытых ресурсов, которые следят за вредоносной активностью в сети и ведут соответствующие записи.
Такие ресурсы как:
VirusTotal
AbusedIP
Spamhaus
IBM-X Threat
Cisco Talos
Помогут Вам определить, замечался ли Ваш публичный IP адрес во вредоносной активности.
Просто введите его в строку поиска на соответствующем ресурсе и посмотрите результат.
Данный способ актуален только если у вас статический IP адрес или, если он динамический, то Вы точно знаете когда он менялся.