Asterisk Kein Root-User
Der Asterisk-Prozess als eingeschränkter Benutzer
Zur Erhöhung der Sicherheit eines Asterisk-Systems ist es ratsam, die Rechte des Asterisk-Prozesses einzuschränken. Zu diesem Zweck wird ein zusätzlicher Benutzer angelegt und die Rechte entsprechend gesetzt. Sämtliche Beschreibungen beziehen sich auf die Linux-Distribution Debian Lenny.
1. Asterisk-Prozess beenden
Auf der Debian Lenny Konsole werden alle folgenden Komandos mit root-Rechten eingegeben:
/etc/init.d/asterisk stop
2. Eine neue Gruppe anlegen (Asterisk)
/usr/sbin/groupadd asterisk
3. Einen neuen Benutzer anlegen (Asterisk)
/usr/sbin/useradd -d /var/lib/asterisk -g asterisk asterisk
4. Einen neuen Ordner für den Asterisk-Prozess erstellen
mkdir /var/run/asterisk
Dieser Ordner muss Asterisk verfügbar gemacht werden. Dafür muss in der Datei /etc/asterisk/asterisk.conf geändert werden.
Mit einem bevorzugtem Editor (z.B. nano) wird diese Datei geöffnet/verändert:
nano /etc/asterisk/asterisk.conf
Die Zeile
astrundir => /var/run
sollte in
astrundir => /var/run/asterisk
geändert werden.
5. Benutzer und Gruppen der Dateien anpassen
chown -R asterisk:asterisk /var/lib/asterisk
chown -R asterisk:asterisk /var/log/asterisk
chown -R asterisk:asterisk /var/run/asterisk
chown -R asterisk:asterisk /var/spool/asterisk
chown -R asterisk:asterisk /usr/lib/asterisk
chown -R asterisk:asterisk /etc/asterisk
Falls ISDN-Treiber eingesetzt werden
chown -R asterisk:asterisk /dev/zap
chown -R asterisk:asterisk /dev/dahdi
6. Rechte der Dateien anpassen
chmod -R u=rwX,g=rX,o= /var/lib/asterisk
chmod -R u=rwX,g=rX,o= /var/log/asterisk
chmod -R u=rwX,g=rX,o= /var/run/asterisk
chmod -R u=rwX,g=rX,o= /var/spool/asterisk
chmod -R u=rwX,g=rX,o= /usr/lib/asterisk
chmod -R u=rwX,g=rX,o= /etc/asterisk
7. ASTERISK unter dem eingeschränkten Benutzer starten
asterisk -U asterisk -G asterisk
Fertig! Nun läuft der Asterisk-Prozess unter einem eingeschränkten Benutzer.