По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В сегодняшней статье расскажем о том, как проверить скачанные или добавленные модули в графическом интерфейсе FreePBX 13.
/p>
C недавних пор FreePBX имеет встроенную систему проверки подписи для всех официальных модулей. Это было сделано для того, чтобы конечный пользователь или администратор системы могли без проблем определить, подвергался ли модуль изменениям (например, из-за уязвимости системы безопасности, или же модуль вовсе вредоносный).
Неподписанные модули после обновления
Если после обновления с FreePBX 2.11 до FreePBX версии 12 или 13, на главной странице появляются информационные сообщения о неподписанных модулях (Unsigned Modules) это может означать, что Вы не завершили последнюю часть обновления. Для того, чтобы её корректно завершить требуется подключиться к вашей IP-АТС по ssh или через консоль и ввести следующий ряд команд:
amportal chown
amportal a ma refreshsignatures
amportal a reload
Эти команды запустят внутреннюю проверку модулей, а также проверку того, что все файлы имеют правильные разрешения. Если будут обнаружены модули, которые не имеют подписи, то система загрузит их заново и перезапустится. После этого, все предупреждения и ошибки должны исчезнуть.
Сообщения о неподписанных модулях на главной странице
Уведомления о подписи модулей были введены в FreePBX 12 как сообщения, которые появляются на главной панели (Dashboard) при обнаружении каких-либо проблем. Выглядит это примерно так:
Вы можете детально узнать подробности этих информационных уведомлений, нажав кнопку Details. Откроется анализ того, что не удалось корректно выполнить в процессе проверки целостности.
В качестве альтернативы можно также скрыть эти сообщения безопасности, нажав X в правом верхнем углу. Таким образом, уведомления будут скрыты до тех пор, пока не появится новый неподписанный модуль. Эти уведомления будут также отображаться на панели управления, в разделе System Overview и приходить по электронной почте в следующем виде:
Желтые уведомления безопасности являются общими предупреждениями. В то время как красные сообщения, означают, что файл был изменен по сравнению с тем, каким он первоначально был во FreePBX. Например:
Вы можете отключить все уведомления о недействительной подписи в меню Advanced Settings, установив Enable Module Signature Checking в положение False.
Настоятельно не рекомендуем выставлять флаг Enable Module Signature Checking в положение False в системах, которые работают в продакшене, поскольку данное действие отключает несколько уровней системной защиты.
Типы предупреждений
Существует два типа предупреждений о подписи модуля, их описание ниже:
Unsigned - неподписанные модули. Это модули, которые не были санкционированы командой разработчиков FreePBX. Они потенциально могут иметь вредоносный код, который может угрожать вашей системе. Установка этих модулей на свой страх и риск.
Altered - изменённые модули. Это модули, имеющие файлы, которые были модифицированы по сравнению с их первоначальной версией. Рекомендуется повторно загрузить эти модули, чтобы предотвратить возможные проблемы с вашей АТС.
OpenSSH позволяет выполнять удаленное подключение к серверу, производить манипуляции с файлами и управлять системой. Сегодня хотим рассказать про лучшие методы, которые позволят увеличить безопасность системы на базе OpenSSH.
Конфигурационные файлы
/etc/ssh/sshd_config - файл конфигурации сервера OpenSSH;
/etc/ssh/ssh_config - файл конфигурации клиентской части OpenSSH;
~/.ssh/ - директория, в которой хранятся пользовательские SSH настройки;
~/.ssh/authorized_keys или ~/.ssh/authorized_keys - список ключей (RSA или DSA), которые используются для подключения к пользовательским аккаунтам;
/etc/nologin - если данный файл существует в системе, то sshd запретит подключаться всем пользователям кроме root в систему;
/etc/hosts.allow и /etc/hosts.deny - система запрета (часть безопасности). Работает по аналогии с ACL;
SSH порт по умолчанию - 22
Не нужен - выключай
Если вашему серверу не требуется удаленное подключение по SSH, то обязательно отключите его. В таких системах как CentOS/RHEL делается это так:
chkconfig sshd off
yum erase openssh-server
Используйте SSH второй версии
Протокол SSH первой версии имеет проблемы с безопасностью, которые закрыты во второй версии. Поэтому, используйте вторую версию. Убедитесь, что в файле /etc/ssh/sshd_config указана опция Protocol 2.
Ограничивайте SSH доступ
По умолчанию, все системные пользователи имеют возможность подключаться к системе по SSH. Рекомендуем ограничить SSH доступ в целях безопасности. Например, разрешить SSH для пользователей root, merion и networks:
AllowUsers root merion networks
С другой стороны, вы можете разрешить доступ всем пользователям, кроме указанных:
DenyUsers root merion networks
Время неактивности
Важно указывать время, в течение которого, неактивная сессия будет терминирована (завершена). Это можно сделать следующими опциями:
ClientAliveInterval 300
ClientAliveCountMax 0
В данной настройке мы указали время бездействия равным 300 секунд (5 минут).
Про файлы .rhosts
Дело в том, что данный файл содержит список хостов и пользователей. Если в данном файле содержится комбинация хоста и юзера, то данный пользователь сможет подключиться к системе по SSH без запроса пароля. Рекомендуем отключить эту «замечательную» фичу:
IgnoreRhosts yes
Никакой аутентификации на базе хоста!
Так называемая Host-Based Authentication позволяет пользователю с определенного хоста подключаться к серверу. Отключаем:
HostbasedAuthentication no
Прямое подключение через root
Не нужно открывать root. Максимум, советуем использовать прямое root подключение на время проведения работ. Затем отключать. Лучше давать su (sudo) доступ для некоторых категория пользователей. Закрыть можно вот так:
PermitRootLogin no
Сделайте баннер
Для каждого подключающегося сделайте баннер, в котором можно угрожать злоумышленникам, которые пытаются совершить несанкционированный доступ. За настройку баннера отвечает параметр Banner.
22 порт только изнутри!
Сделайте доступ к 22 порту системы только через цепочку фаервол правил. Лучше всего, оставить доступ только изнутри LAN. Например, в Iptables можно дать доступ для 192.168.11.0/24:
-A RH-Firewall-1-INPUT -s 192.168.11.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT
Где слушать
По умолчанию SSH слушает подключения на всех доступных интерфейсах. Мы рекомендуем сменить порт по умолчанию и указать IP – адрес, на котором необходимо ожидать подключения. Например, мы укажем порт 962 и IP – адрес 192.168.11.24
Port 962
ListenAddress 192.168.11.24
Криптостойкие пароли
Используйте устойчивые к защите пароли. В сети множество инструментов, которые сгенерируют криптостойкий пароль онлайн, бесплатно и без смс :)
Запретить пустые пароли
Бывают пользователи без паролей. Их доступ к SSH так же необходимо запретить с помощью опции:
Port 962
PermitEmptyPasswords no
Анализируйте логи
Установите логирование событий в режим INFO или DEBUG – это позволит иметь расширенный контроль над системой:
LogLevel INFO
Мы продолжаем изучать один из важнейших протоколов IP телефонии H.323 и в сегодняшней статье рассмотрим возможные сценарии установления соединения, а также углубимся в суть сигнальных сообщений, использующихся в данном протоколе.
Итак, что же происходит прежде чем Вы слышите в трубке голос собеседника, когда соединяетесь по H.323?
Давайте рассмотрим временную диаграмму установления и разъединения связи между парой терминалов под управлением привратника. Для простоты восприятия, сигнальные сообщения протоколов выделены разными цветами.
Как видно из диаграммы на первом этапе установления соединения (SETUP) работают протоколы RAS (Registration, Admission, Status) и H.225.0 .
Терминал 1 по протоколу RAS посылает Привратнику сообщение ARQ (Admission Request), которое содержит информацию о вызываемом абоненте и требования к пропускной способности будущей сессии. Привратник отвечает сообщением ACF (Admission Confirmation), содержащее номер порта TCP для будущего сигнального канала.
Получив номер порта, Терминал 1 инициирует установление TCP-сессии, и, по протоколу H.225.0, посылает сообщение SETUP Терминалу 2. Стоит напомнить, что SETUP, как и все остальные сообщения протокола H.225.0, является разрешенным для использования в VoIP сообщением протокола Q.931, использующегося в ISDN.
SETUP содержит такую информацию как IP адрес, порт и alias, вызываемого абонента. Alias – это адрес по формату напоминающий e-mail адрес, в первой части которого находится уникальный идентификатор терминала, а во второй имя домена, которому он принадлежит, например: alex@merionet.ru или 192.168.1.32@merionet.ru .
Терминал 2 отвечает сообщением CALL PROCEEDING, означающее, что все данные получены. Для того, что бы взаимодействовать с Привратником Терминал 2 также проходит процедуру регистрации, обмениваясь сообщениями ARQ и ACF. Наконец, по протоколу H.225 (Q.931 ) Терминал 2 посылает вызывающей стороне сообщение ALERTING. В этот момент вызывающий абонент слышит контроль посылки вызова.
Согласование
Далее начинается фаза согласования дополнительных параметров с использованием протокола H.245, информация которого передаются внутри сообщений FACILITY протокола H.225.0.
Протокол H.245 осуществляет следующие процедуры:
Определение ведущего и ведомого сессии (Master/Slave Determination).
Данное определение выявляет какой из терминалов будет решать потенциальные разногласия. Например в случае несогласования какого-либо параметра ведущий (Master) может этот параметр отклонить.
Согласование функциональных возможностей терминалов (Terminal Capability Set)
Терминалы обмениваются списком поддерживаемых аудио и видео кодеков. Ведущий выбирает по какому кодеку будет проходить вызов.
Открытие логических каналов (Open Logical Channel)
Окончательное согласование всех необходимых параметров будущей RTP – сессии перед ее непосредственным открытием.
После того как все параметры согласованы и абонент Терминала 2 принимает вызов, в сторону вызывающего терминала отсылается сообщение CONNECT. На этом фаза установления соединения заканчивается и начинается фаза разговора.
Между терминалами устанавливается RTP/RTCP – сессия и начинается обмен речевой информацией.
Далее абонент Терминала 2 инициирует завершение соединения, посылкой сообщений CloseLogicalChannel и EndSessionCommand, на что получает соответствующие CLC ACK и ESC ACK от Терминала 1. Далее по протоколу H.225.0 соединение закрывается окончательно сообщением RELEASE COMPLETE. Терминалы, по протоколу RAS, извещают Привратник об освобождении ресурсов сообщениями DRQ Disenagae Request. Привратник подтверждает освобождение полосы пропускания сообщением Disengage Confirmation.
H.323 был одним из первых протоколов IP – телефонии, поэтому понимание принципов его работы является крайне важным фактором при изучении более новых и современных протоколов VoIP.