Asterisk Kein Root-User

Der Asterisk-Prozess als eingeschränkter Benutzer

Zur Erhöhung der Sicherheit eines Asterisk-Systems ist es ratsam, die Rechte des Asterisk-Prozesses einzuschränken. Zu diesem Zweck wird ein zusätzlicher Benutzer angelegt und die Rechte entsprechend gesetzt. Sämtliche Beschreibungen beziehen sich auf die Linux-Distribution Debian Lenny.

1. Asterisk-Prozess beenden

Auf der Debian Lenny Konsole werden alle folgenden Komandos mit root-Rechten eingegeben:

/etc/init.d/asterisk stop

2. Eine neue Gruppe anlegen (Asterisk)

/usr/sbin/groupadd asterisk

3. Einen neuen Benutzer anlegen (Asterisk)

/usr/sbin/useradd -d /var/lib/asterisk -g asterisk asterisk

4. Einen neuen Ordner für den Asterisk-Prozess erstellen

mkdir /var/run/asterisk

Dieser Ordner muss Asterisk verfügbar gemacht werden. Dafür muss in der Datei /etc/asterisk/asterisk.conf geändert werden.

Mit einem bevorzugtem Editor (z.B. nano) wird diese Datei geöffnet/verändert:

nano /etc/asterisk/asterisk.conf

Die Zeile

astrundir => /var/run

sollte in

astrundir => /var/run/asterisk

geändert werden.

5. Benutzer und Gruppen der Dateien anpassen

chown -R asterisk:asterisk /var/lib/asterisk

chown -R asterisk:asterisk /var/log/asterisk

chown -R asterisk:asterisk /var/run/asterisk

chown -R asterisk:asterisk /var/spool/asterisk

chown -R asterisk:asterisk /usr/lib/asterisk

chown -R asterisk:asterisk /etc/asterisk

Falls ISDN-Treiber eingesetzt werden

chown -R asterisk:asterisk /dev/zap

chown -R asterisk:asterisk /dev/dahdi

6. Rechte der Dateien anpassen

chmod -R u=rwX,g=rX,o= /var/lib/asterisk

chmod -R u=rwX,g=rX,o= /var/log/asterisk

chmod -R u=rwX,g=rX,o= /var/run/asterisk

chmod -R u=rwX,g=rX,o= /var/spool/asterisk

chmod -R u=rwX,g=rX,o= /usr/lib/asterisk

chmod -R u=rwX,g=rX,o= /etc/asterisk

7. ASTERISK unter dem eingeschränkten Benutzer starten

asterisk -U asterisk -G asterisk

Fertig! Nun läuft der Asterisk-Prozess unter einem eingeschränkten Benutzer.