Linux

NFS、rsync 或其他避免在安全的遠端 Asterisk PBX 伺服器上安裝 ftp?

  • November 16, 2015

兩台 VPS 主機:

一個擁有一切 - 郵件、網路、ftp、保管箱等。另一個是 Asterisk PBX(VOIP 伺服器)安裝,它被鎖定了。除了 Asterisk 之外什麼都沒有執行,並且唯一打開的埠是允許 Asterisk 和 sshd 執行的最低要求。

假設我想讓使用者在“不安全”的網路伺服器上使用 ftp 或 Dropbox 上傳和下載各種文件。

在 Asterisk 上,我有以下文件夾,我想將它們共享到“面向使用者”的伺服器上。

  • 日誌 - 我希望最終使用者能夠閱讀但不能更改或刪除它們。
  • 音頻 - 我希望使用者能夠添加或刪除音頻文件
  • 語音郵件 - 我希望使用者能夠下載和刪除語音郵件文件。

我不希望使用者能夠刪除或以其他方式修改目錄名稱,也不希望他們能夠遍歷這些目錄。

可能更糟糕的是,Asterisk 以“root”身份執行,因此文件和目錄也是 root 擁有的。幫助我設置並保護它的人說這是正常的,但在那個階段,其他目錄的想法並不為人所知。

經過一天的大部分時間令人難以置信,它似乎歸結為 rsync 或 nfs。問題是,我並不完全了解兩者的風險,而且我讀得越多,我就越確定我會在我的 Asterisk 盒子裡打開一個厄運之門。

(為了避免問題結束,這不是關於“什麼是最好的方法,請辯論”的問題,這是一個“什麼是正確的方法,為什麼?”的問題。我知道這都是語義,但有時它有助於!)

目前尚不清楚哪些 Asterisk 日誌文件應該面向使用者,或者哪些只讀音頻文件(語音郵件之外)……所以很難猜出你在做什麼。但我會做一些假設:

如果您的目標是讓最終使用者遠離 Asterisk 框,那就太好了。您可以 rsync / scp 文件到面向使用者的系統(因為這些協議提供了很多安全性)。NFS 也可以,但為作業系統提供掛載點並不安全。

如果您擔心 Asterisk 框被黑客入侵,那麼這是錯誤的方法。90% 的 PBX 攻擊(以及幾乎所有的經濟損失)都是通過 SIP 進行的 - 因此,除非您將 SIP 埠訪問限制為已知的固定 IP(以及更多),否則您不會對這項工作產生太大影響。每天 10 萬美元的電話費是在您的 Asterisk 配置、GUI 程式碼、分機密碼等方面發現弱點的結果。要真正防止這些,請查看Voip Info - Asterisk Security

引用自:https://serverfault.com/questions/736839